Последние обновления в законодательстве о персональных данных

Несколько месяцев назад мы уже рассказывали, что будет, если не соблюдать законодательство о персональных данных.

Сегодня мы поделимся последними обновлениями в законодательстве о персональных данных (вступили в силу 01.09.2022) и немного актуализируем информацию.

1. Все лица, собирающие персональные данные («ПД»), являются операторами ПД. Операторы ПД должны уведомлять Роскомнадзор о начале обработки ПД. Ранее действовало большое количество исключений, когда этого не нужно было делать, например, если данные собираются в соответствии с трудовым законодательством, однако теперь перечень исключений сократился и уведомление подавать должны практически все.

Например, обязаны подавать уведомления работодатели, которые собирают или иначе обрабатывают ПД с помощью сервисов 1С.

Формы уведомлений утверждены приказом Роскомнадзора. При этом, при подаче уведомления необходимо указать для каждой цели обработки ПД:

1. категории ПД,
2. категории субъектов, ПД которых обрабатываются,
3. правовое основание обработки ПД,
4. перечень действий с ПД,
5. способы обработки ПД.

2. Усилилась охрана биометрических данных (в том числе изображения лица гражданина, данные голоса). Теперь предоставление биометрических ПД не может быть обязательным, за исключением случаев, предусмотренных законодательством (например, при осуществлении правосудия, проведением обязательной государственной дактилоскопической регистрации и др.)

3. В ст. 16 Закона о защите прав потребителей уточняется, что предоставление ПД может быть обязательным:

1. если это предусмотрено законом 
2. если эта обязанность связанна непосредственно с исполнением договора потребителем, однако требование должно быть мотивировано с точки зрения факта и права (например, когда потребителю оказываются услуги по подаче его документов в какие-либо государственные органы, когда продажа товара обусловлена проверкой каких-либо ПД в отношении покупателя и т.д.).

В связи с указанными изменениями создано новое основание для привлечения к административной ответственности. Согласно ч.7 ст. 14.8 КоАП РФ отказ в заключении, исполнении, изменении или расторжении договора с потребителем в связи с отказом потребителя предоставить ПД влечет наложение административного штрафа:

• Для граждан – от 5 до 10 тыс. руб.;
• Для юридических лиц – от 30 до 50 тыс. руб.

4. У операторов ПД – юридических лиц появились дополнительные обязанности в части требований к политике конфиденциальности. Теперь в локальном акте необходимо обязательно установить для каждой цели обработки ПД:

1. категории и перечень обрабатываемых ПД,
2. категории субъектов, ПД которых обрабатываются,
3. способы,
4. сроки их обработки и хранения,
5. порядок уничтожения ПД при достижении целей их обработки или при наступлении иных законных оснований.

Напоминаем, что если сбор ПД осуществляется с использованием сети «Интернет», то необходимо обязательно опубликовать политику конфиденциальности на официальном сайте организации, в т.ч. на странице, где непосредственно собираются ПД.

5. В целях обеспечения безопасности пользователей и учащением случаев кибератак, в случае кибератаки оператор ПД обязан уведомить Роскомнадзор:

1. в течение 24 часов - об инциденте, мерах по устранению вреда и т.д.
2. в течение 72 часов - о проведении внутреннего расследования, лицах, действия которых стали причиной выявленного инцидента (при наличии). Также необходимо уведомить об атаке госсистему обнаружения компьютерных атак (ГосСОПКА).

Если вам нужна помощь с наведением порядка в сфере законодательства об обработке персональных данных, обращайтесь к нашим специалистам, мы всегда рады помочь!