Изменения по работе с персональными данными, вступающие в силу с 1 сентября, охватывают широкое поле вопросов. Для операторов персональных данных установили ряд новых обязанностей и запретов, сократили некоторые сроки.
Сроки подачи информации в Роскомнадзор
Время, отведенное на ответ ведомству, сократили с 30 календарных до 10 рабочих дней. На основании мотивированного письма допускается увеличение периода максимум на 5 рабочих дней.
Уведомление об обработке персональных данных
В Законе о персональных данных расширяется список случаев, когда компаниям нужно уведомлять Роскомнадзор о намерении начать обрабатывать персональные сведения.
Например, следует сообщить ведомству о намерении обрабатывать персональную информацию:
- своих сотрудников;
- контрагентов (если данные о них нужны только для заключения и исполнения договоров);
- физлиц, при наличии разрешения распространять данные;
- физлиц — только в части ФИО;
- физлиц — для разового прохода на закрытую территорию.
Если персональные данные обрабатываются без применения средств автоматизации, ничего отправлять не надо.
Также внесли корректировки в требования к содержанию уведомления. Для каждой цели обработки сведений необходимо указывать категорию данных и их субъектов, правовое основание обработки, перечень операций с ними и способы их обработки.
Формы уведомлений разработает Роскомнадзор.
Локальные акты по вопросам обработки персональных данных
В законе более конкретно определили требование о том, что локальные акты, касающиеся каждой цели обработки данных, должны включать:
- категории и перечни обрабатываемых данных;
- категории субъектов;
- методы и сроки обработки, хранения;
- порядок их ликвидации.
Зафиксировано, что если персональные сведения посетителей собирает через официальный сайт, то документ о политике обработки и защите данных должен быть опубликован непосредственно на страницах, где происходит сбор.
Согласие на обработку персональных данных
Добавили еще одно условие к согласию - оно должно быть предметным и однозначным.
Если получение согласия обязательно, компания обязана разъяснить физлицу последствия отказа в предоставлении сведений, а также отказа дать согласие на их обработку.
Операторам запретили отказывать клиенту в услугах, если он не хочет предоставлять биометрические сведения или соглашаться на обработку персданных, если по закону получать согласие на нее необязательно.
Компрометация персональных данных: порядок действий
При возникновении ситуации, компрометирующей персданные, у организации есть 24 часа, чтобы сообщить в Роскомнадзор о происшествии, его вероятной причине, последствиях и мерах по их устранению, уполномоченном представителе для взаимодействия с ведомством.
В течение 72 двух часов необходимо провести внутреннее расследование и сообщить о его итогах в Роскомнадзор.
В обязанности операторов входит взаимодействие с государственной системой обнаружения компьютерных атак и оперативное информирование об утечке данных.
Прекращение обработки данных по требованию физлица
Для того чтобы прекратить обработку данных о физлице, компании отводится 10 рабочих дней с момента получения соответствующего заявления. Допускается продление срока в пределах 5 рабочих дней при подаче мотивированного уведомления.
Читать больше: Обработка персональных данных работника
Документы:
- Федеральный закон от 14.07.2022 N 266-ФЗ
- Федеральный закон от 28.05.2022 N 145-ФЗ
- Федеральный закон от 01.05.2022 N 135-ФЗ
Консультант Плюс бесплатно: демо-доступ
Получите демо-доступ к полной коммерческой версии Консультант Плюс на 2 дня бесплатно! Свыше 340 млн документов, обзоров, готовых решений по вопросам трудового законодательства, налогообложения, права без ограничений. Ответы на все вопросы в одном месте!
