Изменение законодательства о персональных данных - Публикации
Яна Рябцева

Специалист по внутренним проектам отдела оптимизации и регламентации бизнес-процессов

С 1 сентября 2022 г. Федеральный закон от 27 июля 2006 года N 152-ФЗ «О персональных данных» начнет действовать в новой редакции.

Поправки были внесены Федеральным законом от 14 июля 2022 г. N 266-ФЗ. В числе основных изменений:

  1. Об обработке персональных данных работников в соответствии с трудовым законодательством нужно уведомлять Роскомнадзор.У работодателей появляется обязанность уведомлять Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) об обработке персональных данных своих работников даже в том случае, если обработка осуществляется только в рамках трудового законодательства. Действующая редакция ФЗ «О персональных данных» освобождает работодателей от такой обязанности (подпункт 1 пункта 2 статьи 22 ФЗ «О персональных данных). Перечень случаев, когда оператор персональных данных может не уведомлять Роскомнадзор, с 1 сентября 2022 года значительно сократится. К таким случаям в частности относится обработка персональных данных исключительно без использования средств автоматизации. Порядок уведомления Роскомнадзора об обработке персональных данных содержится в статье 22 Закона «О персональных данных» Сформировать Уведомление можно на Портале персональных данных Роскомнадзора, направить в его в территориальный орган Роскомнадзора можно в бумажном виде, в электронном виде с использованием усиленной квалифицированной электронной подписи или в электронном виде с использованием средств аутентификации ЕСИА. (https://pd.rkn.gov.ru/operators-registry/notification/updateform/).
  2. Изменяются требования к содержанию уведомления. Скорректирован перечень сведений, которые должны быть указаны в уведомлении Роскомнадзора, его можно найти в пункте 3 статьи 22 ФЗ «О персональных данных».
  3. Уточняются требования к согласию субъекта персональных данных на обработку его персональных данных. Согласно новым требованиям согласие должно быть не только конкретным, информированным и сознательным, но и предметным и однозначным (пункт 1 статьи 9 ФЗ «О персональных данных). Это означает, что на каждую конкретную цель должно быть дано отдельное согласие. Например, при передаче персональных данных аутсорсинговой компании для ведения кадрового учета и расчета заработной платы от работников требуется получить отдельное согласие с указанием наименования юридического лица, которое будет обрабатывать персональные данные работников по поручению оператора.
  4. Уточнены требования к содержанию локальных актов по вопросам обработки персональных данных (далее ПДн). По новым правилам для каждой цели обработки персональных данных необходимо определить категории и перечень обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований. Также запрещено включать в локальные акты положения, ограничивающие права субъектов ПДн, а также возлагающие на операторов не предусмотренные законодательством РФ полномочия и обязанности.
  5. Сокращены сроки исполнения запросов Роскомнадзора (далее РКН) и субъектов ПДн. Ранее срок исполнения запросов был 30 дней, теперь сократился до 10 рабочих дней с возможным продлением на 5 рабочих дня при наличии мотивированного уведомления. Рекомендуем внести в нормативные документы корректировки по новым изменениям.
  6. Разъяснения о предоставлении ПДн. Если в соответствии с федеральным законом предоставление персональных данных и (или) получение оператором согласия на обработку персональных данных являются обязательными, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку. Рекомендуем разработать разъяснения для субъекта.
  7. Вводится обязанность операторов уведомлять РКН о трансграничной передаче ПДн. Это уведомление подается отдельно от уведомления о начале обработки ПДн. Норма вступает в силу с 1 марта 2023 года. Операторы, которые осуществляли трансграничную передачу ПДн до дня вступления в силу изменений в 152-ФЗ и продолжают осуществлять такую передачу после дня вступления в силу изменений в 152-ФЗ, обязаны не позднее 01.03.2023 направить в РКН уведомление об осуществлении трансграничной передачи ПДн.
  8. Взаимодействие с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Устанавливается обязанность оператора обеспечивать взаимодействие с ГосСОПКА, включая информирование о компьютерных инцидентах. Порядок взаимодействия с ГосСОПКА должен быть утвержден ФСБ. 
  9. Размещение Политики обработки ПДн на сайтах. Вводится требование о размещении политики оператора в отношении обработки ПДн, или ссылки на нее, на тех страницах Интернет-сайтов, которые используются для сбора ПДн
  10. Уведомление РКН о инцидентах с ПДн. Устанавливается обязанность оператора уведомлять РКН об утечке персональных данных в течение 24 часов с момента выявления инцидента. Также в течение 72 часов оператор должен будет направить уведомление о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
  11. Прекращение обработки ПДн. Вводится обязанность оператора в случае обращения субъекта ПДн с требованием о прекращении обработки персональных данных, в срок, не превышающий 10 рабочих дней с даты получения соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки, если ПДн переданы обработчику.
  12. Уничтожение ПДн иностранными лицами. Обращаем внимание, что при принятии решения уполномоченным органом о запрете передачи ПДн иностранному лицу, обязанность уничтожения ПДн, которые иностранец получил от оператора, лежит на операторе. Рекомендуем это прописывать в договорах с иностранцами и в поручениях.
  13. Биометрические ПДн. Вводится запрет оператору отказывать в обслуживании в случае отказа субъекта ПДн предоставить свои биометрические персональные данные или дать согласие на обработку таких данных. Эта норма направлена на пресечение недобросовестной практики некоторых организаций, в первую очередь кредитных, по вынуждению клиентов предоставлять согласия на обработку своих биометрических ПДн.



Поделиться:


Подпишитесь на наши материалы
Мы пишем только о самом важном. Вы будете первым узнавать об экономических событиях, которые влияют на ваш бизнес, о том, как сократить расходы, оптимизировать работу компании и принимать верные управленческие решения без погружения в операционные процессы.
Спасибо за подписку!


Вас также могут заинтересовать

11.07.2022

Как оформить возврат средств из ФСС за мероприятия по охране труда

Мария Гусарова рассказывает о порядке оформления возврата средств по охране труда

19.08.2022

Обновленная форма СЗВ-ТД

C 19 августа подавать СЗВ-ТД необходимо по новой форме, а также вносятся изменения в права подписания ответа.

23.08.2022

Чек-лист: Как оформить увольнение по соглашению сторон и избежать рисков

Сотрудник и работодатель могут в любой момент расторгнуть трудовой договор по соглашению сторон.
  1. Unicon Outsourcing
  2. Блог
  3. Изменение законодательства о персональных данных
В целях повышения удобства пользования сайтом мы используем файлы «cookies». Продолжая работу с сайтом, Вы принимаете «Условия использования веб-сайта» и выдаете свое согласие Юникон БС АО на обработку ваших персональных данных в соответствии с «Политикой в отношении обработки персональных данных». Я согласен