- Awara
- 31.08.2022
- 183
С 1 сентября 2022 года изменится порядок работы с персональными данными физических лиц
С 1 сентября 2022 года в силу вступают поправки к действующему законодательству в области защиты персональных данных: расширился круг лиц, которым необходимо передавать информацию в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) о своем намерении осуществить обработку персональных данных. Также изменился ряд ранее установленных сроков и порядок работы с биометрическими данными, и др. При этом данные изменения коснутся даже тех компаний, в которых числится всего 1 сотрудник.
Напоминаем, что согласно российскому законодательству Оператором персональных данных является лицо (государственный орган, муниципальный орган, юридическое или физическое лицо) самостоятельно или совместно с другими лицами организующие и/или осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Включение в реестр операторов персональных данных
В соответствии с изменениями сокращается ряд исключений, позволяющих Операторам не уведомлять Роскомнадзор об осуществлении обработки персональных данных. Согласно внесенным поправкам с 1 сентября 2022 года большинству компаний, предпринимателей, а в некоторых случаях даже физическим лицам, необходимо включаться в реестр операторов персональных данных (в том числе при обработке персональных данных штатных работников организации).
Операторы, как и прежде, вправе осуществлять обработку персональных данных без уведомления Роскомнадзора в случае, когда обработка осуществляется без использования средств автоматизации (без использования технических средств/на бумажном носителе).
Для включения в реестр операторов персональных данных необходимо направить соответствующее уведомление в Роскомнадзор. Уведомление можно направить в виде документа на бумажном носителе или в форме электронного документа, подписанного уполномоченным лицом.
В случае изменения данных, уже содержащихся в реестре, Оператор может внести изменения, направив в Роскомнадзор информационное письмо. Способы направления такого письма такие же, как и для уведомления о намерении начать обработку персональных данных. На это отведено 10 рабочих дней с даты возникновения изменений.
Обращаем ваше внимание, что с 1 сентября 2022 года Роскомнадзором будет опубликована новая форма уведомления. Его электронная форма и порядок ее заполнения будут размещены на Портале персональных данных Роскомнадзора.
Организациям, осуществлявшим свою деятельность до вступления в силу нововведений и ранее не передавшим Роскомнадзору сведения об обработке персональных данных, рекомендуем в кратчайшие сроки включиться в реестр операторов, используя вышеуказанную форму.
Предоставление биометрических персональных данных и согласия на обработку персональных данных является обязательным только в исключительных случаях
Согласно поправкам с 1 сентября 2022 года Оператор не вправе отказывать в обслуживании клиенту в случае отказа последнего предоставить свои биометрические персональные данные и/или дать согласие на обработку персональных данных, если такая обязанность не установлена законом.
Операторам необходимо сообщать об инцидентах, повлекших за собой утечку персональных данных
В случае неправомерной или случайной передачи персональных данных Оператор обязан сообщить в Роскомнадзор соответствующую информацию в следующие сроки:
— в течение 24 часов: об инциденте, его причинах, предполагаемом вреде, о мерах по устранению последствий, сведения о лице, уполномоченным Оператором на взаимодействие с Роскомнадзором;
— в течение 72 часов: о результатах внутреннего расследования выявленного инцидента, сведения о лицах, действия которых стали причиной инцидента.
Изменились ранее установленные законом сроки совершения Оператором действий, связанных с обработкой персональных данных
Например, срок, в течение которого Оператор обязан дать ответ на запрос субъекта персональных данных и Роскомнадзора, сократился с 30 до 10 рабочих дней.
Кроме того, установлен срок прекращения обработки персональных данных Оператором — 10 рабочих дней с даты получения соответствующего требования.
Требования законодательства о защите персональных данных распространяются теперь и на иностранные лица
Положения Федерального закона «О персональных данных» стали применяться и к иностранным лицам, осуществляющим обработку персональных данных граждан Российской Федерации, на основании договора, иных соглашений, либо с их согласия.
Кроме того, иностранные лица, осуществляющие обработку персональных данных по поручению Оператора, теперь также несут ответственность в случае нарушения установленного порядка работы в сфере защиты персональных данных.
Ужесточатся и расширятся требования к порядку трансграничной передачи персональных данных
Обращаем внимание! Операторы, которые осуществляли трансграничную передачу персональных данных до 1 сентября 2022 года и продолжают осуществлять такую передачу после, обязаны не позднее 1 марта 2023 года направить в Роскомнадзор уведомление об осуществлении трансграничной передачи персональных данных. Форма такого уведомления будет опубликована 1 сентября 2022 года на сайте Роскомнадзора.
С 1 марта 2023 года Оператор до начала осуществления деятельности по трансграничной передаче персональных данных должен уведомить об этом Роскомнадзор. Соответствующее уведомление направляется отдельно от уведомления о намерении осуществлять обработку персональных данных на бумажном носителе или в форме электронного документа.
До подачи уведомления Оператор должен получить от лиц, которым планируется осуществить трансграничную передачу персональных данных, информацию о правовом регулировании в области персональных данных в соответствующей стране (конкретный перечень необходимой информации установлен п. 5 ст. 12 Федерального закона «О персональных данных»). Полученные сведения могут быть запрошены Роскомнадзором в ходе проверки направленного Оператором уведомления.
Штрафы
За непредставление или несвоевременное представление оператором персональных данных необходимого уведомления в Роскомнадзор предусмотрена ответственность в соответствии со ст. 19.7 КоАП РФ. Ответственность варьируется в следующих пределах:
— для граждан: предупреждение или наложение штрафа от 100 руб. до 300 руб.;
— для должностных лиц: наложение штрафа от 300 руб. до 500 руб.;
— для юр. лиц: наложение штрафа от 3 000 руб. до 5 000 руб.
За иные нарушения требований законодательства о персональных данных, лица несут ответственность в соответствии со ст. 13.11 КоАП РФ.
Наши услуги
Специалисты Awara могут помочь вам в подготовке необходимых документов в связи с изменениями в законодательстве о персональных данных, а также в актуализации уже имеющихся документов.
Контакты:
+7 495 225-30-38 Москва
+7 812 244-75-49 Санкт-Петербург
+7 495 225-30-38 Тверь