Редакция от 15 июля 2022
Ужесточили правила обработки персональных данных
Приняли поправки в Закон о персональных данных. Усилили меры, которые должен принимать оператор для безопасности обработки персданных. Детализировали правила трансграничной передачи персданных и ее запрета. Часть требований вступает в силу 01.09.2022, другая – 01.03.2023.
Изменения с 01.09.2022
Теперь согласие на обработку персональных данных должно быть не только конкретным, информированным и сознательным, но еще предметным и однозначным. Как это повлияет на оформление согласия, неизвестно. Возможно, Роскомнадзор подготовит разъяснения по нововведениям.
Сократили срок предоставления субъекту персданных сведений об обработке его данных. Теперь ответ надо дать в течение 10 рабочих дней вместо 30. Срок можно продлить максимум на пять рабочих дней. Для этого надо направить мотивированное уведомление субъекту персданных и указать причины продления срока. Подобное правило действует и в случае, если субъект персданных попросит прекратить обработку своих данных. Вы обязаны прекратить обрабатывать данные в течение 10 рабочих дней.
Теперь каждый оператор должен изложить в локальных актах по вопросам обработки персональных данных для каждой цели обработки:
- категории и перечень обрабатываемых персональных данных;
- категории субъектов, персональные данные которых обрабатываются;
- способы, сроки их обработки и хранения;
- порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.
Локальные акты не могут содержать положения, ограничивающие права субъектов персданных или возлагающие на операторов не предусмотренные законодательством полномочия и обязанности. Ранее подобных требований не было.
Установили обязанность оператора обеспечить взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы России (ГосСОПКА). Порядок взаимодействия должен определить ФСБ. Надо передавать информацию о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных. Кроме того, необходимо уведомить Роскомнадзор:
- в течение 24 часов – о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персданных, предполагаемом вреде, принятых мерах по устранению последствий;
- в течение 72 часов – о результатах внутреннего расследования инцидента и предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
Сократили перечень ситуаций, когда не надо направлять уведомление в Роскомнадзор о начале обработки персданных. Оставили только три:
- данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- оператор обрабатывает данные исключительно без использования средств автоматизации;
- обрабатывают данные для транспортной безопасности.
Изменили также перечень сведений, которые надо указывать в уведомлении.
Изменения с 01.03.2023
Детализировали правила оформления трансграничной передачи персданных. Расширили перечень оснований, по которым Роскомнадзор может запретить такую передачу. Установили для этого сроки и процедуру.
Скорректировали обязанность оператора проводить оценку вреда, который может быть причинен субъектам в случае нарушения Закона о персданных. Теперь это надо делать в соответствии с требованиями, установленными Роскомнадзором. Пока таких требований не утвердили.
Если прекращаете обрабатывать данные по требованию субъекта, то надо подтвердить уничтожения персданных в соответствии с требованиями Роскомнадзора. Пока такого документа нет.
Если меняются сведения, которые вы указали в уведомлении о начале обработки персданных, вы должны уведомить об этом Роскомнадзор – не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения. А если вы прекратили обработку, то уведомить надо в течение 10 рабочих дней.
Источник: Федеральный закон от 14.07.2022 № 266-ФЗ.
© Материал из Справочной системы «Образование»
https://plus.1obraz.ru
Дата копирования: 20.07.2022