Новые требования по работе с персональными данными: какие изменения учесть компаниям с 1 сентября

С 1 сентября 2022г. срок предоставления информации Роскомнадзору сократили с 30 календарных до 10 рабочих дней. Срок может быть продлен до  5 рабочих дней на основании мотивированного уведомления.

Проинформировать Роскомнадзор следует, если компания собирается обрабатывать, персональные данные :

• своих работников;
• клиентов (когда данные о них нужны исключительно для заключения и исполнения договоров);
• физлиц, которые разрешили их распространять;
• физлиц — только в части Ф.И.О.;
• физлиц — для однократного пропуска на территорию или в аналогичных целях.

Не нужно уведомлять  ведомство, если для обработки персональных данных не используют средства автоматизации ( в случае, если  данные о посетителях организации записывают в бумажный журнал при выдаче им разовых пропусков).

Скорректированы требования к содержанию уведомления. Если данные будут обрабатывать в разных целях, то для каждой из них понадобится указать:

• категорию данных и их субъектов;
• правовое основание обработки;
• перечень действий с данными и способы их обработки.

В законе закреплено положение о том, что формы уведомлений должен установить Роскомнадзор (пока действует рекомендуемая форма, которую можно заполнить и подать через портал персональных данных).

В законе конкретизировано требование о том, что локальные акты по вопросам обработки персональных данных  должны содержать:

• категории и перечни обрабатываемых данных;
• категории субъектов данных;
• способы и сроки обработки, хранения данных;
• порядок их уничтожения.

Эти положения нужно установить для каждой цели обработки данных.

Если ваша компания собирает персональные данные граждан через свой сайт, необходимо проверить, где именно на сайте опубликован документ о политике обработки данных и сведения о реализуемых компанией требованиях к их защите. Эта информация должна быть опубликована в том числе на страницах сайта, где непосредственно идет сбор персональных данных (например, на страницах с формами, которые заполняют пользователи).

Обязанности компании в случае компрометации персональных данных:

• В течение 24 часов с момента происшествия сообщить в Роскомнадзор:
• об инциденте;
• его предполагаемой причине и вреде, причиненном субъектам данных;
• мерах по устранению последствий инцидента;
• представителе компании, который уполномочен взаимодействовать с Роскомнадзором по вопросам, связанным с происшествием.
• В течение 72 часов с момента инцидента провести внутреннее расследование и сообщить в Роскомнадзор о его результатах, а также о виновниках (при наличии).
• Компания обязана взаимодействовать с госсистемой обнаружения компьютерных атак (ГосСОПКА), в том числе направлять сообщения об утечке данных. Механизм взаимодействия определит ФСБ.

В поручении на  обработку персональных данных другому лицу следует дополнительно отразить:

• перечень персональных данных;
• обязанность использовать для записи и хранения персональных данных базы данных на территории РФ;
• меры, которые должен предпринять исполнитель для выполнения требований Закона о персональных данных;
• обязанность по запросу предоставлять в течение срока действия поручения информацию о соблюдении условий обработки персональных данных;
• обязанность уведомить о случаях компрометации обрабатываемых данных.

В число требований к согласию  на обработку персональных данных включено то, что оно должно быть предметным и однозначным. Если получение согласия обязательно, компания должна разъяснить физлицу последствия не только отказа в предоставлении данных, но и отказа дать согласие на их обработку.

Перечень сведений физлицам об обработке их данных дополнен информацией о том, какими способами компания выполняет обязанности, предусмотренные Законом о персональных данных. По запросу гражданина или его представителя сведения нужно предоставить в течение 10 рабочих дней. Срок может быть увеличен в пределах 5 рабочих дней на основании мотивированного уведомления.

В течение  10 рабочих дней с момента получения требования физлица, компания обязана  прекратить обработку данных о нем или обеспечить прекращение обработки (если ее ведет другое лицо). Срок можно продлить в пределах 5 рабочих дней на основании мотивированного уведомления.

Особенности обработки данных потребителей:

1. По общему правилу продавец не может отказать потребителю в заключении, исполнении, изменении или расторжении договора из-за отказа потребителя предоставить персональные данные. Есть два исключения:

• данные нужны для исполнения договора;
• предоставить данные требует закон.

За нарушение запрета предусмотрен штраф:

• должностных лиц на сумму от 5 тыс. до 10 тыс. руб.;
• юрлиц – от 30 тыс. до 50 тыс. руб.

2. Если потребитель потребует объяснить, почему из-за непредставления персональных данных ему отказали в заключении, исполнении, изменении или расторжении договора, ответить нужно в течение 7 дней, при устном запросе — незамедлительно.
3. Нельзя отказывать в обслуживании физлицу, если оно не хочет предоставлять биометрические данные или соглашаться на обработку персональных данных, а закон не требует от компании получать такое согласие.

Договор,  для исполнения которого нужны персональные данные, не может содержать положения:

• ограничивающие права и свободы физлица;
• устанавливающие случаи обработки данных несовершеннолетних (если иное не предусмотрено законом);
• позволяющие заключать договор при бездействии физлица.

Положения Закона о персональных данных распространено на иностранные компании и физлиц, которые используют данные российских физлиц (например, по договору). Если компания передала данные иностранной организации для обработки, ответственность перед физлицом несут обе организации.