Новое в законе о персональных данных
КАКИЕ ИЗМЕНЕНИЯ УЧЕСТЬ КОМПАНИЯМ С 1 СЕНТЯБРЯ 2022 ГОДА
В закон № 152-ФЗ «О персональных данных» внесли несколько значимых изменений, которые скажутся на Вашей работе.
Мы подготовили их краткий перечень, который поможет Вам не попасть на штрафы.
Информация об этом по ссылке.
Сроки предоставления информации Роскомнадзору сокращены с 30 календарных до 10 рабочих дней. Он может быть увеличен в пределах 5 рабочих дней на основании мотивированного уведомления.
Уведомление об обработке персональных данных:
- Из Закона о персональных данных исключен ряд случаев, когда компаниям не нужно было уведомлять Роскомнадзор о намерении начать обрабатывать персональные данные. Следует проинформировать ведомство, если компания собирается обрабатывать персональные данные: своих работников; клиентов; физлиц, которые разрешили их распространять; физлиц — только в части Ф.И.О.; физлиц — для однократного пропуска на территорию или в аналогичных целях.
Роскомнадзор указал: уведомление нужно подать также и тем, кто уже обрабатывал персональные данные в ситуациях, которые ранее считались исключением. Крайний срок подачи уведомления не определен.
- Скорректированы требования к содержанию уведомления: если данные будут обрабатывать в разных целях, то для каждой из них понадобится указать: категорию данных и их субъектов; правовое основание обработки; перечень действий с данными и способы их обработки.
- В законе закрепили положение о том, что формы уведомлений должен установить Роскомнадзор (пока действует рекомендуемая форма, которую можно заполнить и подать через портал персональных данных (https://pd.rkn.gov.ru/operators-registry/notification/)).
Локальные акты по вопросам обработки персональных данных должны содержать: категории и перечни обрабатываемых данных; категории субъектов данных; способы и сроки обработки, хранения данных; порядок их уничтожения.
Такая информация должна быть опубликована в том числе на страницах сайта, где непосредственно идет сбор персональных данных.
Обязанности компании в случае компрометации персональных данных:
В течение 24 часов с момента происшествия сообщить в Роскомнадзор:
— об инциденте; его предполагаемой причине и вреде, причиненном субъектам данных; мерах по устранению последствий инцидента; представителе компании, который уполномочен взаимодействовать с Роскомнадзором по вопросам, связанным с происшествием.
В течение 72 часов с момента инцидента провести внутреннее расследование и сообщить в Роскомнадзор о его результатах, а также о виновниках (при наличии). На сайте Роскомнадзора доступны специальные электронные формы подачи уведомлений (https://pd.rkn.gov.ru/incidents/form/).
Компания обязана взаимодействовать с госсистемой обнаружения компьютерных атак (ГосСОПКА), в том числе направлять сообщения об утечке данных. Механизм взаимодействия определит ФСБ.
В поручении обработки персональных данных другому лицу следует дополнительно отразить: перечень персональных данных; обязанность использовать для записи и хранения персональных данных базы данных на территории РФ; меры, которые должен предпринять исполнитель для выполнения требований Закона о персональных данных; обязанность по запросу предоставлять в течение срока действия поручения информацию о соблюдении условий обработки персональных данных; обязанность уведомить о случаях компрометации обрабатываемых данных.
По запросу гражданина или его представителя сведения о персональных данных нужно предоставить в течение 10 рабочих дней. Срок может быть увеличен в пределах 5 рабочих дней на основании мотивированного уведомления. Ответ дается в той же форме, в какой поступил запрос, если в запросе не указано иное.
У компании есть 10 рабочих дней с момента получения требования физлица, чтобы прекратить обработку данных о нем или обеспечить прекращение обработки (если ее ведет другое лицо). Срок можно продлить в пределах 5 рабочих дней на основании мотивированного уведомления.
Особенности обработки данных потребителей:
- По общему правилу продавец не может отказать потребителю в заключении, исполнении, изменении или расторжении договора из-за отказа потребителя предоставить персональные данные.
Есть два исключения: данные нужны для исполнения договора; предоставить данные требует закон.
За нарушение запрета могут оштрафовать:
— должностных лиц на сумму от 5 тыс. до 10 тыс. руб.;
— юрлиц — от 30 тыс. до 50 тыс. руб.
- Если потребитель потребует объяснить, почему из-за непредставления персональных данных ему отказали в заключении, исполнении, изменении или расторжении договора, ответить нужно в течение 7 дней, при устном запросе — незамедлительно.
- Нельзя отказывать в обслуживании физлицу, если оно не хочет предоставлять биометрические данные или соглашаться на обработку персональных данных, а закон не требует от компании получать такое согласие.
Документы: Федеральный закон от 14.07.2022 N 266-ФЗ; Федеральный закон от 28.05.2022 N 145-ФЗ; Федеральный закон от 01.05.2022 N 135-ФЗ