Кто начнёт уведомлять об обработке персональных данных
Перечень лиц, которые не сообщают об обработке персональных данных, установлен п. 2 ст. 22 Закона от 27.07.2006 г. № 152-ФЗ. С 1 сентября из него исключили случаи:
- обработки данных по трудовому законодательству;
- записей из фамилии, имени и отчества;
- однократного использования сведений;
- сбора персданных без распространения;
- относящиеся к участникам общественного объединения или религиозной организации.
Например, в организацию часто приезжают курьеры, охрана фиксирует паспортные данные и номер телефона для временного пропуска. Раньше это ни к чему не обязывало, но теперь ИП и ООО обязаны сообщить об обработке персональных данных. Это же касается и работодателей, которые собирают сведения для заключения трудовых договоров.
Форма уведомления утверждена Приказом Роскомнадзора от 30.05.2017 г. № 94, но теперь в ней указывают:
- категории персональных данных;
- категории субъектов, чьи персданные обрабатываются;
- правовое обоснование сбора и хранения сведений;
- перечень действий с собранной информацией;
- способы обработки.
Если обработку сведений делегировали третьей стороне, в уведомлении указывают перечень лиц с доступом к персональным данным.
Новые правила для обработки данных третьими лицами
Теперь третьим лицам данные передают на основании договора, акта или поручения с указанием:
- перечня обрабатываемой информации;
- обязанности третьего лица рассказывать о применяемых мерах защиты;
- необходимости соблюдать все правила ФЗ-152 для операторов.
Например, интернет-магазин передает часть данных специалисту для анализа. Раньше это никак не оформляли — теперь следуют четкому регламенту, а получатель несёт ответственность как оператор.
Сами операторы обязаны уведомлять владельцев данных о получении информации от третьих лиц. В частности, указывать на источник сведений, полный перечень, цели и правовые основания для обработки.
Повышение безопасности персональных данных
Для предотвращения утечек операторов обязали работать с Государственной системой обнаружения, предупреждения и ликвидации последствий кибератак на информационные ресурсы (ГосСОПК).
К системе подключаются через посредников, которые заключили с ГосСОПК договор и наладили безопасный обмен данными — например, Ростелеком-Солар, ИнфоТеКС или Код Безопасности.
Операторы обязаны в течение 24 часов сообщить об утечке, предполагаемых причинах и мерах по определению последствий. Затем в течение 72 часов отчитаться о точных причинах утечки и причастных лицах.
Защита интересов потребителей
С 1 сентября нельзя отказывать в обслуживании, если клиент не соглашается на обработку биометрических и персональных данных. Исключения:
- ситуации из п. 2 ст. 11 Закона № 152-ФЗ;
- персональные данные нужны для исполнения обязательств;
- в конкретной ситуации законодательство требует обработки данных — например, при покупке ювелирных украшений дороже 40 тыс. руб.
Если данные собирают для клиентской базы, отказывать в обслуживании из-за непредоставления информации запрещено. Но, когда сведения нужны для организации доставки, отказ будет законным — без персданных невозможно выполнить обязательства.
Передача данных за границу
В ст. 1 Закона № 152-ФЗ добавили п. 1.1, который обязывает иностранные организации:
- уведомлять Роскомнадзор об обработке данных;
- работать с ГосСОПК;
- соблюдать интересы и права потребителей;
- следовать всем нормам закона аналогично российским операторам.
За нарушение иностранные организации и лиц штрафуют и запрещают деятельность на общих основаниях.
С 01.03.2023 г. изменятся правила и порядок передачи персональных данных за границу. Правительство разработало новую редакцию ст. 12 Закона № 152-ФЗ, в которой утвердят нормы для Роскомнадзора — в частности, порядок запрета передачи сведений третьим лицам из других стран.
Если российская организация передаст обработку данных иностранной компании, за нарушения правил партнёром она понесёт равнозначную ответственность.
Прочие изменения
Сроки предоставления сведений. Операторы обязаны в течение 10 дней:
- отвечать на запросы лиц относительно обработки их персональных данных;
- раскрывать перечень обрабатываемых персданных;
- прекращать обработку по заявлению владельца персональных данных.
Операторам разрешили продлевать срок на 5 дней, но только при наличии мотивированного обоснования.
Борьба с ущемлением прав. Локальные документы и нормы оператора не должны нарушать интересы владельцев персональных данных. Новые правила запрещают вводить полномочия, которые не предусмотрены законом — пп. 2 п. 1 ст. 18.1 Закона № 152-ФЗ.
Пояснения. Компании и ИП обязаны рассказывать лицам о юридических последствиях непредоставления персональных данных. Актуально для ситуаций, когда передача персданных обязательна по закону.
Статья актуальна на