Работа с персональными данными в агентстве недвижимости в условиях изменившегося законодательства
6 сентября 2022 года прошла встреча Клуба юристов Гильдии риэлторов Московской области (ГРМО), где обсуждали тему «Работа с персональными данными в агентстве недвижимости в условиях изменившегося законодательства».
Спикером выступил Сергей Булахов, руководитель проекта ЮристНедвижимостьОнлайн (ЮНО), юрист-эксперт ГРМО.
 |
Булахов Сергей Васильевич, |
Сергей ответил на все вопросы участников по вопросу относительно изменений, внесённых в закон о персональных данных (Федеральный закон от 14 июля 2022 г. № 266-ФЗ) 1 сентября 2022 года.
В свете указанных изменений Сергей представил справку для практического применения в работе юристов агентств недвижимости:
Основные термины и понятия:
- оператор персональных данных (Оператор ПД) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Под данную категорию попадают и агентства недвижимости, как организованные в качестве юридического лица, так и ИП;
- персональные данные (ПД) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- обработка персональных данных (обработка ПД) - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. К таким действиям относится и заключение договоров с клиентами, их хранение, копирование и/или передача третьим лицам.
Операторы ПД должны уведомить Роскомнадзор о начале или осуществлении любой обработки персональных данных за исключением случаев, когда данные обрабатываются в целях защиты безопасности государства и общественного порядка, транспортной безопасности, или если оператор обрабатывает данные исключительно без средств автоматизации.
Формы уведомлений будут утверждены приказом Роскомнадзора.
До этого оператор ПД вправе заполнить форму уведомления об обработке персональных данных на Портале персональных данных Роскомнадзора или направить такое уведомление в адрес территориального управления Роскомнадзора по месту регистрации оператора на бумажном носителе по форме, утвержденной Приказом Роскомнадзора от 30.05.2017 № 94.
На портале Роскомнадзора оператору ПД предоставлена возможность сформировать и отправить уведомление в территориальный орган Роскомнадзора одним из следующих способов:
1. в бумажном виде;
2. в электронном виде с использованием усиленной квалифицированной электронной подписи;
3. в электронном виде с использованием средств аутентификации ЕСИА.
После вступления в силу приказа Роскомнадзора, устанавливающего новую форму уведомления, оператор может направить уведомление о внесении изменений в ранее представленные сведения в Реестр операторов, осуществляющих обработку персональных данных.
Предельный срок уведомления Роскомнадзора об обработке персональных данных не определён. Таким образом, 01 сентября 2022 не является крайним сроком подачи уведомления об обработке персональных данных.
Также закон внёс изменения в правила трансграничной (т.е. в иные страны) передачи персональных данных. Новый порядок будет применяться с 1 марта 2023 года, но операторов, которые уже сейчас передают данные за границу, закон обязал направить в Роскомнадзор уведомление о трансграничной передаче до этой даты через Портал персональных данных Роскомнадзора или в письменном виде.
Помимо уведомления, операторы ПД должны:
А) назначить лицо, ответственное за организацию обработки персональных данных, к физическим лицам и ИП это не относится, только к юридическим лицам;
Б) издать локальный нормативный акт (например инструкцию), определяющий политику в области обработки ПД (цель сбора ПД, категории и перечень ПД, перечень субъектов ПД, порядок хранения, сроки обработки и уничтожения документов, содержащих ПД. К физическим лицам и ИП это не относится, только к юридическим лицам;
В) обеспечить принятие мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Закона о ПД, в том числе применять правовые, организационные и технические меры. Данное положение должно утверждаться локальным нормативным актом (см. п.Б);
Г) осуществлять внутренний контроль и (или) аудит соответствия обработки ПД Закону о ПД и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора. Как представляется, реализация данной обязанности может осуществляться путем периодических проверок, отражаемых в журнале. Форма и содержание такого документа нормативно не закреплены, следовательно, они могут быть оформлены в произвольной форме, с обязательной подписью лица, уполномоченного на проведение такой проверки (см. пункты А и Б);
Д) ознакомить своих работников, непосредственно осуществляющих обработку персональных данных, с положениями Закона о ПД, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора ПД в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников. Для этих целей желательно завести журнал, в котором работники должны расписываться за проведенный инструктаж.
Обработка ПД возможна только с согласия субъекта ПД. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных.
Предусмотрены дополнительные требования к согласию на обработку ПД. Ранее от согласия на обработку ПД требовалось быть конкретным, информированным и сознательным. Теперь оно должно быть ещё и предметным, а также однозначным.
Операторам по общему правилу запрещено требовать предоставления биометрических ПД (физиологические и биологические особенности человека, на основании которых можно установить его личность) и ставить заключение договора в зависимость от их предоставления.
Согласие на обработку персональных данных возможно получить двумя способами:
- Включением согласия в виде отдельного пункта в договор с клиентом,
- Подписание отдельного документа (согласия).
Законом не установлено, какой способ является предпочтительным. С прикладной точки зрения удобнее использовать отдельный пункт в договоре. При этом следует учитывать, что согласие должно быть конкретным, информированным, сознательным, предметным и однозначным. Поэтому, с точки зрения правоприменительной практики, в том числе судебной, рекомендуем обеспечить возможность проставления субъектом отдельной отметки о согласии/несогласии на обработку персональных данных, а в случае получения согласия в отношении нескольких субъектов – проставление отдельной отметки о согласии/несогласии на получение персональных данных в отношении каждого из субъектов.
Пресс-служба Гильдии риэлторов Московской области
Единый реестр сертифицированных агентств и аттестованных специалистов
База объектов недвижимости от профессионалов
Подписывайтесь на телеграмм канал Гильдии