С 1 сентября 2022 года в силу вступают поправки к действующему законодательству в области защиты персональных данных: расширился круг лиц, которым необходимо передавать информацию в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) о своем намерении осуществить обработку персональных данных. Также изменился ряд ранее установленных сроков и порядок работы с биометрическими данными, и др. При этом данные изменения коснутся даже тех компаний, в которых числится всего 1 сотрудник.

Напоминаем, что согласно российскому законодательству Оператором персональных данных является лицо (государственный орган, муниципальный орган, юридическое или физическое лицо) самостоятельно или совместно с другими лицами организующие и/или осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Включение в реестр операторов персональных данных

В соответствии с изменениями сокращается ряд исключений, позволяющих Операторам не уведомлять Роскомнадзор об осуществлении обработки персональных данных. Согласно внесенным поправкам с 1 сентября 2022 года большинству компаний, предпринимателей, а в некоторых случаях даже физическим лицам, необходимо включаться в реестр операторов персональных данных (в том числе при обработке персональных данных штатных работников организации).

Операторы, как и прежде, вправе осуществлять обработку персональных данных без уведомления Роскомнадзора в случае, когда обработка осуществляется без использования средств автоматизации (без использования технических средств/на бумажном носителе).

Для включения в реестр операторов персональных данных необходимо направить соответствующее уведомление в Роскомнадзор. Уведомление можно направить в виде документа на бумажном носителе или в форме электронного документа, подписанного уполномоченным лицом.

В случае изменения данных, уже содержащихся в реестре, Оператор может внести изменения, направив в Роскомнадзор информационное письмо. Способы направления такого письма такие же, как и для уведомления о намерении начать обработку персональных данных. На это отведено 10 рабочих дней с даты возникновения изменений.

Обращаем ваше внимание, что с 1 сентября 2022 года Роскомнадзором будет опубликована новая форма уведомления. Его электронная форма и порядок ее заполнения будут размещены на Портале персональных данных Роскомнадзора.

Организациям, осуществлявшим свою деятельность до вступления в силу нововведений и ранее не передавшим Роскомнадзору сведения об обработке персональных данных, рекомендуем в кратчайшие сроки включиться в реестр операторов, используя вышеуказанную форму.

Предоставление биометрических персональных данных и согласия на обработку персональных данных является обязательным только в исключительных случаях

Согласно поправкам с 1 сентября 2022 года Оператор не вправе отказывать в обслуживании клиенту в случае отказа последнего предоставить свои биометрические персональные данные и/или дать согласие на обработку персональных данных, если такая обязанность не установлена законом.

Операторам необходимо сообщать об инцидентах, повлекших за собой утечку персональных данных

В случае неправомерной или случайной передачи персональных данных Оператор обязан сообщить в Роскомнадзор соответствующую информацию в следующие сроки:

— в течение 24 часов: об инциденте, его причинах, предполагаемом вреде, о мерах по устранению последствий, сведения о лице, уполномоченным Оператором на взаимодействие с Роскомнадзором;

— в течение 72 часов: о результатах внутреннего расследования выявленного инцидента, сведения о лицах, действия которых стали причиной инцидента.

Изменились ранее установленные законом сроки совершения Оператором действий, связанных с обработкой персональных данных

Например, срок, в течение которого Оператор обязан дать ответ на запрос субъекта персональных данных и Роскомнадзора, сократился с 30 до 10 рабочих дней.

Кроме того, установлен срок прекращения обработки персональных данных Оператором — 10 рабочих дней с даты получения соответствующего требования.

Требования законодательства о защите персональных данных распространяются теперь и на иностранные лица

Положения Федерального закона «О персональных данных» стали применяться и к иностранным лицам, осуществляющим обработку персональных данных граждан Российской Федерации, на основании договора, иных соглашений, либо с их согласия.

Кроме того, иностранные лица, осуществляющие обработку персональных данных по поручению Оператора, теперь также несут ответственность в случае нарушения установленного порядка работы в сфере защиты персональных данных.

Ужесточатся и расширятся требования к порядку трансграничной передачи персональных данных

Обращаем внимание! Операторы, которые осуществляли трансграничную передачу персональных данных до 1 сентября 2022 года и продолжают осуществлять такую передачу после, обязаны не позднее 1 марта 2023 года направить в Роскомнадзор уведомление об осуществлении трансграничной передачи персональных данных. Форма такого уведомления будет опубликована 1 сентября 2022 года на сайте Роскомнадзора.

С 1 марта 2023 года Оператор до начала осуществления деятельности по трансграничной передаче персональных данных должен уведомить об этом Роскомнадзор. Соответствующее уведомление направляется отдельно от уведомления о намерении осуществлять обработку персональных данных на бумажном носителе или в форме электронного документа.

До подачи уведомления Оператор должен получить от лиц, которым планируется осуществить трансграничную передачу персональных данных, информацию о правовом регулировании в области персональных данных в соответствующей стране (конкретный перечень необходимой информации установлен п. 5 ст. 12 Федерального закона «О персональных данных»).  Полученные сведения могут быть запрошены Роскомнадзором в ходе проверки направленного Оператором уведомления.

Штрафы

За непредставление или несвоевременное представление оператором персональных данных необходимого уведомления в Роскомнадзор предусмотрена ответственность в соответствии со ст. 19.7 КоАП РФ. Ответственность варьируется в следующих пределах:

— для граждан: предупреждение или наложение штрафа от 100 руб. до 300 руб.;
— для должностных лиц: наложение штрафа от 300 руб. до 500 руб.;
— для юр. лиц: наложение штрафа от 3 000 руб. до 5 000 руб.

За иные нарушения требований законодательства о персональных данных, лица несут ответственность в соответствии со ст. 13.11 КоАП РФ.

Наши услуги

Специалисты Awara могут помочь вам в подготовке необходимых документов в связи с изменениями в законодательстве о персональных данных, а также в актуализации уже имеющихся документов.

Контакты:

info@awara-russia.com

+7 495 225-30-38 Москва
+7 812 244-75-49 Санкт-Петербург
+7 4822 63-00-62 Тверь