Перечень лиц, которые не сообщают об обработке персональных данных, установлен п. 2 ст. 22 Закона от 27.07.2006 г. № 152-ФЗ. С 1 сентября из него исключили случаи:

  • обработки данных по трудовому законодательству;
  • записей из фамилии, имени и отчества;
  • однократного использования сведений;
  • сбора персданных без распространения;
  • относящиеся к участникам общественного объединения или религиозной организации.

Например, в организацию часто приезжают курьеры, охрана фиксирует паспортные данные и номер телефона для временного пропуска. Раньше это ни к чему не обязывало, но теперь ИП и ООО обязаны сообщить об обработке персональных данных. Это же касается и работодателей, которые собирают сведения для заключения трудовых договоров.

Форма уведомления утверждена Приказом Роскомнадзора от 30.05.2017 г. № 94, но теперь в ней указывают:

  • категории персональных данных;
  • категории субъектов, чьи персданные обрабатываются;
  • правовое обоснование сбора и хранения сведений;
  • перечень действий с собранной информацией;
  • способы обработки. 

Если обработку сведений делегировали третьей стороне, в уведомлении указывают перечень лиц с доступом к персональным данным.

30 дней Эльбы в подарок

Оцените все возможности онлайн-бухгалтерии бесплатно

Попробовать бесплатно

Теперь третьим лицам данные передают на основании договора, акта или поручения с указанием:

  • перечня обрабатываемой информации;
  • обязанности третьего лица рассказывать о применяемых мерах защиты;
  • необходимости соблюдать все правила ФЗ-152 для операторов.

Например, интернет-магазин передает часть данных специалисту для анализа. Раньше это никак не оформляли — теперь следуют четкому регламенту, а получатель несёт ответственность как оператор. 

Сами операторы обязаны уведомлять владельцев данных о получении информации от третьих лиц. В частности, указывать на источник сведений, полный перечень, цели и правовые основания для обработки.

Для предотвращения утечек операторов обязали работать с Государственной системой обнаружения, предупреждения и ликвидации последствий кибератак на информационные ресурсы (ГосСОПК).

!

К системе подключаются через посредников, которые заключили с ГосСОПК договор и наладили безопасный обмен данными — например, Ростелеком-Солар, ИнфоТеКС или Код Безопасности.

Операторы обязаны в течение 24 часов сообщить об утечке, предполагаемых причинах и мерах по определению последствий. Затем в течение 72 часов отчитаться о точных причинах утечки и причастных лицах.

С 1 сентября нельзя отказывать в обслуживании, если клиент не соглашается на обработку биометрических и персональных данных. Исключения:

  • ситуации из п. 2 ст. 11 Закона № 152-ФЗ;
  • персональные данные нужны для исполнения обязательств;
  • в конкретной ситуации законодательство требует обработки данных — например, при покупке ювелирных украшений дороже 40 тыс. руб.

Если данные собирают для клиентской базы, отказывать в обслуживании из-за непредоставления информации запрещено. Но, когда сведения нужны для организации доставки, отказ будет законным — без персданных невозможно выполнить обязательства.

В ст. 1 Закона № 152-ФЗ добавили п. 1.1, который обязывает иностранные организации:

  • уведомлять Роскомнадзор об обработке данных;
  • работать с ГосСОПК;
  • соблюдать интересы и права потребителей;
  • следовать всем нормам закона аналогично российским операторам.

За нарушение иностранные организации и лиц штрафуют и запрещают деятельность на общих основаниях.

С 01.03.2023 г. изменятся правила и порядок передачи персональных данных за границу. Правительство разработало новую редакцию ст. 12 Закона № 152-ФЗ, в которой утвердят нормы для Роскомнадзора — в частности, порядок запрета передачи сведений третьим лицам из других стран.

Если российская организация передаст обработку данных иностранной компании, за нарушения правил партнёром она понесёт равнозначную ответственность.

Сроки предоставления сведений. Операторы обязаны в течение 10 дней: 

  • отвечать на запросы лиц относительно обработки их персональных данных;
  • раскрывать перечень обрабатываемых персданных;
  • прекращать обработку по заявлению владельца персональных данных.

Операторам разрешили продлевать срок на 5 дней, но только при наличии мотивированного обоснования.

Борьба с ущемлением прав. Локальные документы и нормы оператора не должны нарушать интересы владельцев персональных данных. Новые правила запрещают вводить полномочия, которые не предусмотрены законом — пп. 2 п. 1 ст. 18.1 Закона № 152-ФЗ.

Пояснения. Компании и ИП обязаны рассказывать лицам о юридических последствиях непредоставления персональных данных. Актуально для ситуаций, когда передача персданных обязательна по закону.

Статья актуальна на