Изменение законодательства о персональных данных - Публикации
Яна Рябцева

Специалист по внутренним проектам отдела оптимизации и регламентации бизнес-процессов

С 1 сентября 2022 г. Федеральный закон от 27 июля 2006 года N 152-ФЗ «О персональных данных» начнет действовать в новой редакции.

Поправки были внесены Федеральным законом от 14 июля 2022 г. N 266-ФЗ. В числе основных изменений:

  1. Об обработке персональных данных работников в соответствии с трудовым законодательством нужно уведомлять Роскомнадзор.У работодателей появляется обязанность уведомлять Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) об обработке персональных данных своих работников даже в том случае, если обработка осуществляется только в рамках трудового законодательства. Действующая редакция ФЗ «О персональных данных» освобождает работодателей от такой обязанности (подпункт 1 пункта 2 статьи 22 ФЗ «О персональных данных). Перечень случаев, когда оператор персональных данных может не уведомлять Роскомнадзор, с 1 сентября 2022 года значительно сократится. К таким случаям в частности относится обработка персональных данных исключительно без использования средств автоматизации. Порядок уведомления Роскомнадзора об обработке персональных данных содержится в статье 22 Закона «О персональных данных» Сформировать Уведомление можно на Портале персональных данных Роскомнадзора, направить в его в территориальный орган Роскомнадзора можно в бумажном виде, в электронном виде с использованием усиленной квалифицированной электронной подписи или в электронном виде с использованием средств аутентификации ЕСИА. (https://pd.rkn.gov.ru/operators-registry/notification/updateform/).
  2. Изменяются требования к содержанию уведомления. Скорректирован перечень сведений, которые должны быть указаны в уведомлении Роскомнадзора, его можно найти в пункте 3 статьи 22 ФЗ «О персональных данных».
  3. Уточняются требования к согласию субъекта персональных данных на обработку его персональных данных. Согласно новым требованиям согласие должно быть не только конкретным, информированным и сознательным, но и предметным и однозначным (пункт 1 статьи 9 ФЗ «О персональных данных). Это означает, что на каждую конкретную цель должно быть дано отдельное согласие. Например, при передаче персональных данных аутсорсинговой компании для ведения кадрового учета и расчета заработной платы от работников требуется получить отдельное согласие с указанием наименования юридического лица, которое будет обрабатывать персональные данные работников по поручению оператора.
  4. Уточнены требования к содержанию локальных актов по вопросам обработки персональных данных (далее ПДн). По новым правилам для каждой цели обработки персональных данных необходимо определить категории и перечень обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований. Также запрещено включать в локальные акты положения, ограничивающие права субъектов ПДн, а также возлагающие на операторов не предусмотренные законодательством РФ полномочия и обязанности.
  5. Сокращены сроки исполнения запросов Роскомнадзора (далее РКН) и субъектов ПДн. Ранее срок исполнения запросов был 30 дней, теперь сократился до 10 рабочих дней с возможным продлением на 5 рабочих дня при наличии мотивированного уведомления. Рекомендуем внести в нормативные документы корректировки по новым изменениям.
  6. Разъяснения о предоставлении ПДн. Если в соответствии с федеральным законом предоставление персональных данных и (или) получение оператором согласия на обработку персональных данных являются обязательными, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку. Рекомендуем разработать разъяснения для субъекта.
  7. Вводится обязанность операторов уведомлять РКН о трансграничной передаче ПДн. Это уведомление подается отдельно от уведомления о начале обработки ПДн. Норма вступает в силу с 1 марта 2023 года. Операторы, которые осуществляли трансграничную передачу ПДн до дня вступления в силу изменений в 152-ФЗ и продолжают осуществлять такую передачу после дня вступления в силу изменений в 152-ФЗ, обязаны не позднее 01.03.2023 направить в РКН уведомление об осуществлении трансграничной передачи ПДн.
  8. Взаимодействие с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Устанавливается обязанность оператора обеспечивать взаимодействие с ГосСОПКА, включая информирование о компьютерных инцидентах. Порядок взаимодействия с ГосСОПКА должен быть утвержден ФСБ. 
  9. Размещение Политики обработки ПДн на сайтах. Вводится требование о размещении политики оператора в отношении обработки ПДн, или ссылки на нее, на тех страницах Интернет-сайтов, которые используются для сбора ПДн
  10. Уведомление РКН о инцидентах с ПДн. Устанавливается обязанность оператора уведомлять РКН об утечке персональных данных в течение 24 часов с момента выявления инцидента. Также в течение 72 часов оператор должен будет направить уведомление о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
  11. Прекращение обработки ПДн. Вводится обязанность оператора в случае обращения субъекта ПДн с требованием о прекращении обработки персональных данных, в срок, не превышающий 10 рабочих дней с даты получения соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки, если ПДн переданы обработчику.
  12. Уничтожение ПДн иностранными лицами. Обращаем внимание, что при принятии решения уполномоченным органом о запрете передачи ПДн иностранному лицу, обязанность уничтожения ПДн, которые иностранец получил от оператора, лежит на операторе. Рекомендуем это прописывать в договорах с иностранцами и в поручениях.
  13. Биометрические ПДн. Вводится запрет оператору отказывать в обслуживании в случае отказа субъекта ПДн предоставить свои биометрические персональные данные или дать согласие на обработку таких данных. Эта норма направлена на пресечение недобросовестной практики некоторых организаций, в первую очередь кредитных, по вынуждению клиентов предоставлять согласия на обработку своих биометрических ПДн.



Поделиться:


Подпишитесь на наши материалы
Мы пишем только о самом важном. Вы будете первым узнавать об экономических событиях, которые влияют на ваш бизнес, о том, как сократить расходы, оптимизировать работу компании и принимать верные управленческие решения без погружения в операционные процессы.
Подписываясь, вы соглашаетесь на обработку персональных данных.
Спасибо за подписку!


Вас также могут заинтересовать

11.07.2022

Как оформить возврат средств из ФСС за мероприятия по охране труда

Мария Гусарова рассказывает о порядке оформления возврата средств по охране труда

19.08.2022

Обновленная форма СЗВ-ТД

C 19 августа подавать СЗВ-ТД необходимо по новой форме, а также вносятся изменения в права подписания ответа.

23.08.2022

Чек-лист: Как оформить увольнение по соглашению сторону и избежать рисков

Сотрудник и работодатель могут в любой момент расторгнуть трудовой договор по соглашению сторон.
  1. Unicon Outsourcing
  2. Блог
  3. Изменение законодательства о персональных данных
В целях повышения удобства пользования сайтом мы используем файлы «cookies». Продолжая работу с сайтом, Вы принимаете «Условия использования веб-сайта» и выдаете свое согласие Юникон БС АО на обработку ваших персональных данных в соответствии с «Политикой в отношении обработки персональных данных». Я согласен