Защита персональных данных: что изменилось после 1 сентября 2022 года


1 сентября 2022 года вступили в силу поправки в ФЗ №152 «О персональных данных» и в ФЗ №2300-1 «О защите прав потребителей». Объясняем, что это означает для обычных людей.

Как сообщает РКН, с начала 2022 года в сеть утекло как минимум 40 баз с персональными данными россиян. Сорок баз общим объёмом 300 млн записей принадлежали «Ozon», «СДЭК», «Почте России» и другим известным компаниям. Это серьёзные цифры, поэтому Правительство приняло меры, которые должны повысить сохранность личных данных граждан.

Поправки в закон № 152-ФЗ вносит Федеральный закон от 14.07.2022 № 266-ФЗ. В нём указано, что отдельные положения начинают действовать с 1 сентября 2022 года, но ряд изменений вступают в силу только 1 марта 2023 года. Отложенные изменения касаются трансграничной передачи данных и порядок предоставления сведений из ЕГРН.

Напомним, что ранее закон № 519-ФЗ от 30.12.2020 сформулировал три основных принципа для согласия на обработку персональных данных:

  • Молчание или бездействие не означают согласие на обработку ПДн
  • Согласие на обработку и последующее распространение ПДн оформляется отдельно
  • В согласии на обработку и последующее распространение ПДн можно установить запрет на передачу данных неограниченному кругу лиц — только конкретным субъектам.

Нововведения ужесточают и детализируют требования к работе с ПДн. Что конкретно меняется?

Усиливается контроль за данными

ФЗ-152

  • Утекло — сообщай сразу. Оператор персональных данных при утечке данных обязан сообщить об инциденте в РКН не позднее, чем через 24 часа. Дополнительно Оператор должен провести внутреннее расследование произошедшего и сообщить о результатах в течение 72 часов. Также подкрепляется позиция ГосСОПКи. Организация расследует инциденты безопасности, выявляет уязвимости информационных систем. Если в организации произошла кибератака или что-то из перечисленного, то она обязана передать сведения в ГосСОПКу.
  • Персональная ответственность. До 1 сентября 2022 года иностранные обработчики данных несли ответственность только перед оператором ПДн. Теперь обработчик отвечает персонально перед каждым владельцем персданных. Он обязан соблюдать конфиденциальность, избегать утечек.
  • Больше отчётности в РКН. Перед обработкой любых ПДн оператор обязан заполнить специальную анкету и передать её в РКН, уведомляя о том, что намерен сделать. Ранее были случаи, когда эта процедура являлась необязательной.
  • Распространение на иностранных граждан. Закон распространил своё действие на иностранные физические и юрлица в случае, если обработка ПДн проводится на основании договора с гражданином России или с его согласия.
  • Больше прозрачности. Если на сайте выполняется сбор данных, там нужно опубликовать политику сбора ПДн. Причём сделать её доступной, чтобы любой желающий мог с ней ознакомиться.
  • Конкретизация согласия. Как известно, согласие на обработку ПДн должно было быть «конкретным, информированным и сознательным». С 1 сентября 2022 года — ещё и «предметным и однозначным». В согласии все пункты должны иметь однозначное толкование. Отозвать согласие можно в любой момент.

Ускоряется обработка данных

По новым поправкам оператор ПДн обязан быстрее реагировать на запросы граждан и РКН.

  • Для граждан. Если владелец ПДн обращается с требованием прекратить его обработку данных, оператор обязан остановить её в течение 10 дней. Сведения, касающиеся обработки персональных данных, также предоставляются в течение 10 дней после обращения.
  • Для Роскомнадзора. Сведения, касающиеся обработки персональных данных, оператор должен предоставить РКН в течение 10 рабочих дней (раньше было 30). Допускается увеличение срока на 5 дней, если оператор отправит в РКН уведомление с обоснованием продления. Если ответы не устроят РКН несколько раз в течение года, к вам могут прийти с внеплановой проверкой

Приведём пример. Согласно закону получается, что работодатель обязан в течение 10 дней ответить или подготовить мотивированный отказ сотруднику, который запросил информацию о том, как компания обрабатывает его персданные. Ответ готовится в той форме, в которой обратился сотрудник (но в запросе может быть указана иная форма ответа). Также к оператору ПДн могут обратиться с запросом, есть ли у него конкретные персональные данные заявителя.

Необязательная биометрия

С 1 сентября 2022 года официально запрещено отказывать гражданам в оказании услуг, если они не сдали биометрию (при условии, что она не является обязательным условием для получения услуги). Например, теперь россияне имеют право отказаться от фотографирования, если это не прописано в правилах оказания услуги или не подразумевается должностью.

Также прямо запрещена биометрическая обработка ПДн подростков. Например, если в штат на лето взяли работников младше 18 лет, желательно удалить их фото, видео и записи голоса. Использовать их фото на пропуске и в личном деле запрещено.

Сбор ПДн в магазинах ограничат

Онлайн и офлайн-магазины больше не могут требовать персданные от покупателей без их прямого согласия. Указывать ФИО полностью, номер банковской карты и телефона, email и адрес проживания нужно только при условии, что это действительно требуется для покупки. Закон предоставляет покупателю право требовать объяснений, зачем требуются те или иные персональные данные.

Если магазин артачится и не хочет обслуживать покупателя, берегущего свои ПДн, на него можно пожаловаться. Штрафы должностных лиц составляют от 5000 ₽ до 10 000 ₽, юрлиц — от 30 000 ₽ до 50 000 ₽.

Изменяются правила защиты ПДн

Работодатель теперь обязан составить и утвердить положение о защите ПДн. В этом документе прописываются категории риска каждого документа/электронного носителя персданных, а также наличие угроз компрометации информации с этих носителей. Ранее такой документ рекомендовался, теперь он стал обязательным.

Что касается уничтожения персональных данных, то это возможно лишь в конкретных случаях, перечисленных в пункте 3 статьи 21, статье 21 Федерального закона от 14.07.2022 № 266-ФЗ:

  • Закончился срок хранения документа
  • Цель обработки достигнута или их больше не нужно обрабатывать
  • Оператор неправомерно обрабатывает ПДн
  • Владелец персональных данных отозвал согласие, потребовав прекратить обрабатывать и распространять его ПДн

Способ уничтожения персональных данных законом не определён.

С 1 марта 2023 года вводятся новые требования к трансграничной передаче ПД. Если компания передаёт ПД за границу, необходимо направить в РКН отдельное уведомление. Надзорный орган примет решение, запретить или разрешить передачу ПД иностранному лицу.

Также напоминаем, что вы можете воспользоваться услугой Cloud4Y "Облако ФЗ-152", чтобы избавить себя от необходимости строить и поддерживать инфраструктуру в соответствии с требованиями законодательства.


Полезный материал?
0
0
автор: Андрей
опубликовано: 07.09.2022
Читайте нас: 
Последние статьи
Вверх!