Изменения в работе с персональными данными в 2024 году

23 декабря 2023 года вступил в силу Закон «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» от 12.12.2023 № 589-ФЗ. Он повысил штрафы за обработку персональных данных без письменного согласия гражданина и нарушение требований к содержанию такого согласия (ч. 2 ст. 13.11 КоАП РФ):

Повысился и штраф за совершение этого нарушения повторно (ч. 2.1 ст. 13.11 КоАП РФ):

Закон № 589-ФЗ с 23.12.2023 также предусмотрел для банков, МФЦ и ряда других юрлиц новый состав административного правонарушения – нарушение требований к тому, как размещать и обновлять биометрические персональные данные в единой системе. Штраф за такое нарушение составляет (ст. 13.11.3 КоАП РФ):

• для должностных лиц от 100 тыс. до 300 тыс. рублей;
• для компаний – от 500 тыс. до 1 млн рублей.

Методы защиты персональных данных сотрудников отличаются в зависимости от того на каких носителях такие данные представлены. Требования к организации защиты личных сведений граждан на бумажных носителях подробно не описаны. Ключевое требование – принимать необходимые правовые, организационные и технические меры для защиты персональных данных работников от неправомерного использования или утраты либо обеспечить принятие таких мер (п. 7 ст. 86 ТК РФ, ч. 1 ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

Поэтому мы рекомендуем:
• хранить личные данные на бумажных носителях в специальных помещениях. Нужно раздельно хранить персональные данные (материальные носители), которые обрабатываются в разных целях (п. 14 Положения, утвержденного Постановлением Правительства РФ от 15.09.2008 № 687);
• организовать особый режим доступа в эти помещения. В частности, утвердить перечень лиц, имеющих доступ в такие помещения (п. 13 Положения № 687);
• организовать охрану помещений, например, оборудовать их сигнализацией, металлическими самозакрывающимися дверьми, решетками на окнах.

В некоторых случаях необходимо хранить личные сведения граждан в железных шкафах. Например, это касается документов воинского учета, содержащих персональные данные работников (п. 21 Методических рекомендаций по ведению воинского учета в организациях, утвержденных Генштабом Вооруженных Сил РФ 11.07.2017).

Организовать защиту персональных данных, которые хранятся в информационных системах, непросто. Поэтому, как правило, привлекают специализированную организацию или ИП, у которых есть лицензия на деятельность по технической защите конфиденциальной информации (п. 2 Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных, утвержденных Приказом ФСТЭК России от 18.02.2013 № 21).

В частности, для защиты потребуется:

• определить тип угрозы безопасности персональных данных (п. 7 Требований, утвержденных Постановлением Правительства РФ от 01.11.2012 № 1119);
• подобрать один из четырех уровней защиты сведения, исходя из типа угрозы, в соответствии с п. п. 8 — 16 Требований № 1119.

От этого и будет зависеть комплекс мер. Например, если по итогам определения типа угрозы специалист предложит обеспечить минимальный (четвертый) уровень защищенности персональных данных работников, потребуется (п. 13 Требований № 1119):

• обезопасить помещения, в которых размещена информационная система, от неконтролируемого проникновения или неправомерного доступа;
• обеспечить сохранность носителей персональных данных;
• утвердить перечень лиц, имеющих в силу трудовых обязанностей доступ к данным в информационной системе;
• защитить информацию с помощью средств, прошедших процедуру оценки соответствия, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Кроме того, необходимо взаимодействовать с госсистемой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ. В частности, потребуется уведомлять о компьютерных инцидентах, из-за которых личные сведения граждан неправомерно переданы, распространены и так далее. Порядок взаимодействия утвержден Приказом ФСБ России от 13.02.2023 № 77.

Если передача данных привела к нарушению прав сотрудников, то работодатель обязан в течение 24 часов с момента ее выявления уведомить Роскомнадзор (п. 1 ч. 3.1 ст. 21 Закона № 152-ФЗ):

• об инциденте и его предполагаемых причинах;
• возможном вреде, причиненном правам работников;
• мерах, принятых по устранению последствий инцидента;
• лице, которое уполномочено взаимодействовать с Роскомнадзором по вопросам, связанным с инцидентом.

По выявленному факту компания обязана провести внутреннее расследование. О его результатах нужно уведомить Роскомнадзор в течение 72 часов с момента обнаружения передачи данных. Кроме того, надо предоставить сведения о лицах, из-за которых произошел инцидент (если такие есть) (п. 2 ч. 3.1 ст. 21 Закона № 152-ФЗ).

Порядок и условия взаимодействия Роскомнадзора с операторами в рамках ведения реестра учета инцидентов в области персональных данных утверждены Приказом Роскомнадзора от 14.11.2022 № 187.

Работодатель, собирая, храня, используя, передавая или уничтожая данные, относящиеся к любому физическому лицу, является оператором. До начала обработки личных сведений граждан он обязан уведомить Роскомнадзор о своем намерении обрабатывать такие сведения, за исключением ряда случаев (ч. 1 ст. 22 Закона № 152-ФЗ). Так, без уведомления Роскомнадзора можно проводить обработку персональных данных (ч. 2 ст. 22 Закона № 152-ФЗ):

• включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
• если оператор обрабатывает данные исключительно без использования средств автоматизации;
• в случаях, предусмотренных законодательством РФ о транспортной безопасности.

Уведомление нужно составить по форме, приведенной в Приложении № 1 к Приказу Роскомнадзора от 28.10.2022 № 180. Документ должен быть подписан уполномоченным лицом (ч. 3 ст. 22 Закона № 152-ФЗ).

Роскомнадзор на основании уведомления в течение 30 дней с даты его поступления вносит сведения в реестр операторов (ч. 4 ст. 22 Закона № 152-ФЗ). Информация об этом размещается на официальном сайте Роскомнадзора, а также на Портале персональных данных (п. 3.5 Методических рекомендаций, утвержденных Приказом Роскомнадзора от 30.05.2017 № 94).

Обо всех изменениях, которые произошли в течение месяца, нужно сообщить в Роскомнадзор не позднее 15-го числа следующего месяца. Если компания прекратила обработку персональных данных, нужно уведомить Роскомнадзор в течение 10 рабочих дней с даты прекращения обработки (ч. 7 ст. 22 Закона № 152-ФЗ). Данные уведомления необходимо составлять по формам, приведенным в Приложениях № № 2 и 3 к Приказу № 180.

Если организация намерена осуществлять трансграничную передачу персональных данных, следует также направить в Роскомнадзор соответствующее уведомление. Оно подается отдельно от уведомления о намерении осуществлять обработку личных данных (ч. 3 ст. 12 Закона о № 152-ФЗ).

За непредставление или несвоевременное представление уведомления предусмотрена административная ответственность: предупреждение или штраф для должностных лиц — от 300 до 500 рублей, для юридических лиц — от 3 тыс. до 5 тыс. рублей (ст. 19.7 КоАП РФ).

Порядок хранения и использования персональных данных работников устанавливается работодателем с учетом требований ТК РФ и иных федеральных законов (ст. 87 ТК РФ). Данная норма обязывает работодателя принять локальный акт, который будет регулировать порядок хранения и использования личных сведений сотрудников. Таким актом обычно является Положение об обработке и защите персональных данных. Его можно разработать в произвольной форме, так как нормативной нет. В Положении нужно описать все действия связанные с обработкой и защитой данных (хранение, использование данных и так далее). Для каждой цели обработки документ должен определять категории и перечень персональных данных, способы, сроки их обработки и хранения (ст. 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Закона № 152-ФЗ).

Работники и их представители должны быть ознакомлены под подпись с документами, устанавливающими порядок обработки и защиты персональных данных, а также их права и обязанности в этой области (п. 8 ст. 86 ТК РФ).

Работодатель должен разработать документ, определяющий политику в отношении обработки личных сведений граждан (п. 2 ч. 1 ст. 18.1 Закона № 152-ФЗ). Его структуру и содержание можно установить самостоятельно (Письмо Роскомнадзора от 19.10.2021 № 08-71063). При этом целесообразно руководствоваться Рекомендациями, изданными Роскомнадзором.

Документ должен включать в себя, в частности, сведения о цели сбора персональных данных, правовых основаниях их обработки, объеме и категориях обрабатываемых данных, порядке и условиях их обработки.

Необходимо опубликовать или иным образом обеспечить неограниченный доступ к политике обработки персональных данных, к сведениям о реализуемых требованиях к защите таких данных. Документ можно разместить на официальном сайте компании или на информационном стенде в офисе, если сайта нет.

Если компания осуществляет сбор персональных данных с использованием информационно-телекоммуникационных сетей, то она обязана (ч. 2 ст. 18.1 Закона № 152-ФЗ, Письмо Роскомнадзора от 19.10.2021 № 08-71063):

• опубликовать политику обработки персональных данных в соответствующей сети, в том числе на страницах принадлежащего ей сайта, с помощью которых собираются сведения;
• обеспечить возможность доступа к этому документу с использованием средств такой сети.

По запросу Роскомнадзора необходимо представить документы, определяющие политику обработки персональных данных, и подтвердить, что были приняты необходимые меры, в том числе в рамках такой политики (ч. 4 ст. 18.1 Закона № 152-ФЗ).

По общему правилу работодатель вправе обрабатывать персональные данные сотрудника с его письменного согласия (п. 1 ч. 1 ст. 6, абз. 1 ч. 4 ст. 9 Закона № 152-ФЗ). Есть случаи, когда оно не требуется. К примеру, согласие не нужно, если работодатель сообщает личные сведения сотрудника третьей стороне, чтобы предупредить угрозу его жизни и здоровью. Или обрабатывает их для осуществления и выполнения обязанностей, возложенных на него законодательством (п. 2 ч. 1 ст. 6 Закона № 152-ФЗ, ст. 88 ТК РФ, п. 4 Разъяснений Роскомнадзора).

Поскольку в случае возникновения спора доказать получение согласия работника на обработку его персональных данных должен работодатель (ч. 3 ст. 9 Закона № 152-ФЗ), целесообразно оформить такое согласие письменно. В некоторых случаях письменная форма согласия прямо предусмотрена законом (ч. 4 ст. 9 Закона № 152-ФЗ). Например, письменное согласие работника требуется:

• при получении персональных данных работника у третьей стороны (п. 3 ст. 86 ТК РФ);
• при передаче личных сведений работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника, а также в иных предусмотренных федеральными законами случаях (абз. 2 ст. 88 ТК РФ);
• для обработки специальных категорий персональных данных работника, непосредственно связанных с вопросами трудовых отношений (п. 4 ст. 86 ТК РФ, п. 1 ч. 2 ст. 10 Закона № 152-ФЗ). К этим данным относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни.

Работодатель с согласия сотрудника вправе поручить обработку его персональных данных (ведение кадрового, бухгалтерского учета и так далее) другому лицу (ч. 3 ст. 6 Закона № 152-ФЗ, абз. 2 п. 5 Разъяснений Роскомнадзора). Ответственность перед сотрудником за действия указанного лица несет работодатель (ч. 5 ст. 6 Закона № 152-ФЗ). Если обработка поручена иностранному физическому или юридическому лицу, ответственность перед сотрудником несет и работодатель, и это лицо (ч. 6 ст. 6 Закона № 152-ФЗ).

Отдельно от других согласий нужно оформлять согласие на обработку персональных данных, разрешенных для распространения. При этом работнику нужно дать возможность определить их перечень по каждой категории, указанной в согласии на обработку. Он вправе также установить, например, запрет на передачу (кроме предоставления доступа) данных неограниченному кругу лиц (ч. 1, 9 ст. 10.1 Закона № 152-ФЗ). Требования к содержанию такого согласия утверждены Приказом Роскомнадзора от 24.02.2021 № 18.

Сотрудник в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона № 152-ФЗ). В подобной ситуации продолжение обработки личных сведений работника без его согласия возможно при наличии оснований, перечисленных в п. п. 2 — 11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Закона № 152-ФЗ (ч. 2 ст. 9 Закона № 152-ФЗ).

Биометрические персональные данные – это сведения о физиологических и биологических особенностях человека, по которым можно установить его личность (ч. 1 ст. 11 Закона № 152-ФЗ). Как правило, к ним относят (Письма Минцифры России от 17.07.2020 № ОП-П24-070-19433, Роскомнадзора от 10.02.2020 № 08АП-6782):

• фотографическое изображение человека;
• видеоизображение человека;
• дактилоскопические данные;
• информация о радужной оболочке глаза;
• результаты анализов ДНК;
• данные о голосе.

Обрабатывать биометрические данные может любое лицо — оператор персональных данных при условии соблюдения общего порядка обработки личных сведений граждан и особых требований к порядку обработки биометрических данных.

В установленных случаях такая обработка осуществляется с использованием единой биометрической системы (ЕБС). Использовать ЕБС в целях аутентификации физлиц могут только те организации и ИП, которые соответствуют критериям, установленным ч. 7 ст. 10 Закона «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных…» от 29.12.2022 № 572-ФЗ.

Помимо ЕБС, компании и ИП могут использовать для аутентификации физлиц другие информационные системы. Это системы аккредитованных организаций, осуществляющих аутентификацию на основе биометрических персональных данных физлиц. Использовать их могут те организации и ИП, которые соответствуют критериям, установленным ч. 8 ст. 16 Закона № 572-ФЗ.

Если же организация или ИП хранят биометрические данные вне информационных систем, например на бумаге, то нет специальных критериев, которым нужно соответствовать. Также нет специальных критериев для тех организаций и ИП, которые хранят биометрические данные в своей информационной системе, но проверяют их соответствие не автоматизированным способом, а с участием человека — уполномоченного должностного лица (ч. 1, п. 2 ч. 2 ст. 1 Закона № 572-ФЗ).

Обрабатывать, в том числе хранить, биометрические данные можно (п. 10 ст. 3, ч. 10 ст. 19 Закона № 152-ФЗ):

• с использованием информационных систем;
• без использования таких систем.

Использовать и хранить биометрические данные вне информационных систем можно только на таких материальных носителях и с применением такой технологии хранения информации, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения (ч. 10 ст. 19 Закона № 152-ФЗ).

Требования к материальным носителям и технологиям их хранения вне информационных систем установлены Постановлением Правительства РФ от 06.07.2008 № 512. Как правило, тип материального носителя компания вправе выбрать сама (п. 7 Требований № 512). Это может быть, например, внешний жесткий диск, карта памяти, внешний SSD-накопитель, USB-накопитель. Необходимо вести учет количества таких материальных носителей и присваивать каждому носителю свой уникальный идентификационный номер, который позволяет точно определить оператора, осуществившего запись биометрических персональных данных на материальный носитель (п. 8 Требований № 512).

При хранении биометрии вне информационных систем нужно обеспечить регистрацию фактов несанкционированной повторной и дополнительной записи информации после ее извлечения из такой системы (п. 11 Требований № 512).

Банки, МФЦ и иные организации в случаях, определенных федеральными законами, размещают с согласия физлица его биометрические данные в ЕБС. Это делается бесплатно при личном присутствии физлица после проведения идентификации (п. 1 ч. 1 ст. 4 Закона № 572-ФЗ).

В единой системе размещаются и обрабатываются (ч. 4 ст. 3 Закона № 572-ФЗ):

• изображение лица, полученное с помощью фото- и видеоустройств;
• запись голоса, полученная с помощью звукозаписывающих устройств.

Порядок обработки биометрии ЕБС, а также Требования к параметрам биометрических персональных данных, к информационным технологиям и техническим средствам, предназначенным для их обработки утверждены Приказом Минцифры России от 12.05.2023 № 453.

При обработке биометрии в информационных системах операторам персональных данных необходимо использовать средства защиты информации, обеспечивающие их безопасность от угроз. Такие угрозы безопасности установлены, в частности, в:

• Перечне угроз безопасности, утвержденном Приказом Минцифры России от 05.05.2023 № 445. Применимо, в частности, к операторам — организациям (за исключением организаций финансового рынка), информационные системы которых взаимодействуют с ЕБС;
• Перечне угроз безопасности, утвержденном Приказом Минцифры России от 05.05.2023 № 446. Применимо к операторам — организациям (за исключением организаций финансового рынка), обрабатывающим указанные данные, векторы ЕБС, в информационных системах, осуществляющих аутентификацию на основе биометрических данных физлиц и ЕБС.

В общем случае биометрия хранится в ЕБС не менее 50 лет с момента размещения (п. 20 Приложения № 1 к названному Приказу). Векторы единой биометрической системы, которые используются в целях аутентификации лица, разрешено использовать не дольше пяти лет (в определенных случаях — не более двух лет) со дня размещения в ЕБС биометрических данных, в результате преобразования которых получены соответствующие векторы (п. 17 Приложения № 2, п. 10 Приложения № 3 к Приказу № 453).