- Уведомлять Роскомнадзор об обработке персональных данных теперь должны практически все - список исключений значительно сокращен
С 1 сентября нужно уведомлять об обработке ПД:
- работников;
- клиентов (даже если данные нужны только для заключения и исполнения договоров);
- членов (участников) общественного объединения или религиозной организации;
- разрешенных для распространения;
- даже при получении только ФИО;
- для однократного пропуска на территорию.
Можно не уведомлять об обработке ПД:
- включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- если вы обрабатываете ПДн без использования средств автоматизации;
- в случаях, предусмотренных законодательством о транспортной безопасности.
Изменение на основании подп. "а", "б" п. 14 ст. 1 Закона 226-ФЗ
Закреплено в ч. 2 ст. 22 Закона о ПДн
2. При подаче уведомления в РКН информацию об обработке персональных данных для каждой цели нужно указывать отдельно Что нужно указывать:
- категории ПД;
- категории субъектов, ПД которых обрабатываются;
- правовое основание обработки ПД;
- перечень действий с ПД;
- способы обработки ПД
Изменение на основании подп. "в" п. 14 ст. 1 Закона 226-ФЗ
Закреплено в ч. 3.1 ст. 22 Закона о ПДн
3. Новые требования к политике обработки персональных данных Теперь нужно определить для каждой цели обработки ПД:
- категории и перечень ПД;
- категории субъектов, ПД которых обрабатываются;
- способы, сроки обработки и хранения ПД;
- порядок уничтожения ПД.
Ссылку на политику в отношении обработки ПД нужно разместить на каждой странице сайта, на которой вы собираете ПД.
Изменение на основании п. 10 ст. 1 Закона 226-ФЗ
Закреплено в п. 2 ч. 1 ст. 18.1 Закона о ПДн
4. Теперь нельзя отказывать в обслуживании клиентам, если они не предоставляют биометрию Биометрические персональные данные – это сведения о физиологических и биологических особенностях человека, на основании которых можно установить его личность. Отпечатки пальцев, рисунок радужной оболочки глаза и т. п. Их и раньше можно было обрабатывать только с письменного согласия. Теперь же гражданину нельзя будет отказать в обслуживании, если он не дал согласия на обработку биометрических ПД или не предоставил их.
Изменение на основании п. 6 ст. 1 Закона 226-ФЗ
Закреплено в ч. 3 ст. 11 Закона о ПДн
5. В договоры с гражданами теперь нельзя включать некоторые условия об обработке персональных данных Вы не сможете включать условия, которые:
- ограничивают права и свободы субъекта ПД;
- устанавливают случаи обработки ПД несовершеннолетних, если иное не предусмотрено законодательством РФ;
- допускают в качестве условия заключения договора бездействие субъекта ПД.
Изменение на основании: подп. "а" п. 3 ст. 1 Закона 226-ФЗ
Закреплено в п. 5 ч. 1 ст. 6 Закона о ПДн
6. Новые требования к поручению на обработку персональных данных Обработчики – это лица, которым оператор ПД дал поручение на обработку ПД. Теперь в поручении на обработку ПД нужно указывать:
- перечень ПД, которые будет обрабатывать обработчик;
- перечень действий (операций) с ПД, которые будет осуществлять обработчик;
- цели обработки ПД в рамках поручения;
- обязанность обработчика соблюдать конфиденциальность персональных данных;
- обязанность обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПД граждан РФ с использованием баз данных, находящихся на территории РФ;
- обязанность обеспечивать меры, предусмотренные ст. 18.1 Закона о ПД;
- обязанность обработчика направлять оператору отчет о соблюдении конфиденциальности и безопасности ПД;
- обязанность обработчика обеспечивать безопасность ПД при их обработке;
- требования к защите ПД, которые предусмотрены ст. 19 Закона о ПД;
- требование об уведомлении оператора об утечках ПД.
Ответственность оператора и обработчика изменилась. Если обработчик - российское физлицо или юрлицо, то ответственность несет только оператор. Если обработчик - иностранное лицо, то ответственность и на операторе, и на обработчике
Изменение на основании подп. "б" п. 3 ст. 1 Закона 226-ФЗ
Закреплено в ч. 3 ст. 6 Закона о ПДн
7. Сокращение сроков ответа на запросы об обработке персональных данных При запросе об обработке ПД от субъекта ПД или Роскомнадзора нужно ответить в течение 10 рабочих дней. Можно продлить еще на 5 дней, но только при письменном объяснении причины.
Изменение на основании п. 12 ст. 1 Закона 226-ФЗ
Закреплено в ст. 20 Закона о ПДн
8. Установлен срок для прекращения обработки персональных данных, если он осуществляется без согласия субъекта Оператор должен прекратить обработку ПД в течение 10 рабочих дней со дня получения требования субъекта ПД. Срок можно продлить на 5 рабочих дней, если в письменном виде объяснить субъекту ПД причину продления.
Это актуально в случае, когда вы обрабатываете ПД без согласия субъекта. Если же субъект отозвал согласие на обработку ПД, то срок остается прежним и составляет 30 дней со дня отзыва согласия.
Изменение на основании подп. "б" п. 13 ст. 1 Закона 226-ФЗ
Закреплено в ч. 5.1 ст. 21 Закона о ПДн
9. Новая обязанность - уведомлять Роскомнадзор об утечках персональных данных Оператор должен уведомлять Роскомнадзор об утечках, которые привели к нарушению прав субъектов ПД. Недостаточно просто уведомить Роскомнадзор об утечке.
В течение 24 часов нужно предоставить данные:
- о предполагаемых причинах;
- о предполагаемом вреде правам субъектов ПД;
- о принятых мерах по устранению последствий утечки;
- о работнике оператора, уполномоченным на взаимодействие с Роскомнадзором.
В течение 72 часов:
- о результатах внутреннего расследования утечки;
- о лицах, действия которых привели к утечке (если таковые есть).
Изменение на основании подп. "а", "б" п. 13 ст. 1 Закона 226-ФЗ
Закреплено в ч. 3.1 ст. 21 Закона о ПДн
10. Новая обязанность - уведомлять о компьютерных инцидентах Оператор обязан передавать сведения о компьютерных инцидентах, которые привели к неправомерной передаче ПД. Передавать нужно в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА).
Регламент взаимодействия пока не утвержден.
Изменение на основании п. 11 ст. 1 Закона 226-ФЗ
Закреплено в ч. 12-14 ст. 19 Закона о ПДн Что делать? Принять решение, будете ли вы уведомлять РКН об обработке ПД работников и клиентов (если еще не включены в реестр операторов). Неуведомление грозит штрафом от 3 до 5 тысяч рублей (физлица и юрлица).
Поменяйте политику обработки ПД, локальные нормативные акты об обработке ПД и формы согласий на обработку ПД в соответствии с изменениями.
Пересмотрите оферты, формы договоров и уже заключенные договоры и приведите их в соответствие с новыми правилами.
В поручения на обработку ПД добавьте новые обязанности обработчика.
Разработайте и внедрите регламент уведомления РКН об утечках и их расследовании.
Источники информации:
ФЗ от 27.07.2006 N 152-ФЗ "О персональных данных"
ФЗ от 14.07.2022 N 266-ФЗ