Закон о персональных данных в 2022 году

Какие изменения вступят в силу с 1 сентября 2022? Ниже основные новости.

 

Для работодателей

Персональными данными работника считаются его ФИО, паспортные данные, ИНН, СНИЛС, номер телефона, сведения об образовании, доходах и т.д. Все работодатели считаются операторами персональных данных – ведь так или иначе они с этими данными работают. Сообщать об обработке данных работников в Роскомнадзор раньше было не нужно, поскольку речь шла об использовании данных только в рамках трудовых отношений, а с 1 сентября это станет обязательным.

Сроки уведомления ведомства зависят от того, включена ли компания в реестр операторов персональных данных или нет:

- если нет, то ей лучше направить в Роскомнадзор уведомление о начале обработки персональных данных работников до 1 сентября 2022 года. Уведомление можно направить через сайт Роскомнадзора или распечатать форму и отправить ее в бумажной форме;

- если да, то не позднее 15 сентября 2022 года – при этом это должно быть уведомление о новой цели обработки персональных данных – «Обработка в рамках трудовых отношений».

За непредставление уведомления или опоздание по срокам представления выпишут штраф:

- организациям: от 3 000 до 5 000 рублей;

- должностным лицам: от 300 до 500 рублей.

  Для бизнеса в целом

1. Сроки ответа Роскомнадзору сократились до 10 рабочих дней. На основании мотивированного уведомления срок предоставления информации может быть продлен не более, чем на 5 рабочих дней.

2. Компания обязана уведомлять Роскомнадзор о намерении начать обрабатывать персональные данные:

- работников;

- клиентов – в том случае, если их данные требуются только для заключения и исполнения договоров;

- физлиц, которые дали согласие на распространение своих данных;

- физлиц, если речь идет только об указании ФИО

- физлиц, для оформления однократного пропуска на территорию или в похожих целях.

Однако, уведомлять Роскомнадзор не нужно, если оператор обрабатывает персональные данные исключительно без средств автоматизации: например, организация выдает разовые пропуски посетителям, записывая их данные в бумажный журнал.

3. Если организация обрабатывает персональные данные в разных целях, то в уведомлении для каждой из них потребуется указать:

- категорию данных и их субъектов;

- правовое обоснование обработки;

- перечень действий с данными и способы, которыми их будут обрабатывать.

Если у организации или физлица есть доступ к персональным данным в государственных (муниципальных) информационных системах или если они обрабатывают данные из них по договору, ФИО этих юрлиц или физлиц тоже нужно указать в уведомлении.

4. Формы уведомлений устанавливает Роскомнадзор.

5. В локальных актах для каждой цели обработки данных нужно указать:

- категории и перечни обрабатываемых данных;

- категории субъектов данных;

- способы и сроки обработки (хранения) данных;

- порядок уничтожения данных.

Если компания собирает персональные данные через свой сайт, то Политика обработки данных и сведения о том, какие требования компания реализует к их защите, должны быть опубликованы, в том числе, на страницах сбора персональных данных – где, например, пользователи заполняют формы.

6. Если персональные данные были скомпрометированы (кто-то получил к ним несанкционированный доступ или же есть такие подозрения), компания обязана сообщить в Роскомнадзор в течение 24 часов:

- о самом факте;

- о предполагаемых причинах происшествия;

- о вреде, причиненном субъектам данных;

- о мерах по устранению последствий случившегося;

- о представителе компании, который будет взаимодействовать с Роскомнадзором по вопросам, связанным с инцидентом.

В течение 72 часов с момента происшествия компания должна сообщить в Роскомнадзор о результатах внутреннего расследования и о виновниках – если они были найдены. Компания также обязана сообщить об утечке данных в рамках взаимодействия с госситемой обнаружения компьютерных атак – ГосСОПКА. Каким образом будет налажен этот механизм, будет определять ФСБ.

7. Если компания решила поручить обработку персональных данных третьему лицу, то поручение нужно дополнить:

- перечнем персональных данных;

- обязанностью использовать для записи и хранения персональных данных базы данных на территории РФ;

- мерами, которые должен предпринять исполнитель для того, чтобы выполнить требования Закона о персональных данных;

- обязанностью по запросу предоставлять в течение срока поручения информацию о соблюдении условий обработки персональных данных;

- обязанностью уведомлять о случаях компрометации обрабатываемых данных.

8. По новым правилам, согласие на обработку персональных данных должно быть предметным и однозначным. Если его подписание обязательно, то компания должна разъяснить физлицу последствия отказа в предоставлении данных, а также отказа дать согласие на их обработку.

9. С 1 сентября 2022 физлицо (его представитель), запросившее информацию об обработке своих персональных данных, должны получить ее в течение 10 рабочих дней. При наличии мотивированного уведомления срок может быть увеличен до 5 рабочих дней. Ответ на запрос компания дает в той форме, в которой был сделан запрос, если в нем не было указано иное.

10. В состав информации, которую организация должна предоставить физлицу до начала обработки его данных, включили перечень обязанностей компании, которые получила данные не от самого физлица.

11. Если физлицо решило отозвать свое согласие на предоставление персональных данных, то компания должна прекратить обработку данных этого физлица – либо обеспечить прекращение обработки, если ее ведет третье лицо, в течение 10 рабочих дней с момента получения соответствующего требования от физлица. На основании мотивированного уведомления срок может быть увеличен до 5 рабочих дней.

12. Продавец не имеет права отказать потребителю в заключении, исполнении, изменении, расторжении договора, если потребитель отказывается предоставлять персональные данные. Но это правило не работает в случаях, когда:

- данные нужны для исполнения договора;

- предоставление данных обязательно по закону.

Штрафы за нарушение составят:

- от 5000 до 10 000 рублей – для должностных лиц;

- от 30 000 до 50 000 рублей – для юридических лиц.

Если потребитель требует объяснения причин отказа заключить, исполнить, изменить или расторгнуть договор из-за непредставления им персональных данных, то продавец обязан ответить в течение 7 дней в письменной форме, и при устном запросе – сразу же.

Если физлицо отказывается предоставить свои биометрические данные или же не соглашается на обработку персональных данных, а закон не требует от компании такого согласия, то отказ ему в обслуживании неправомерен.

- которые ограничивают права и свободы физлица;

- которые устанавливают случаи обработки данных несовершеннолетних (если это не предусмотрено законом);

- которые позволяют заключать договор при бездействии физлица.

14. Закон о персональных данных распространяется на иностранные компании и физлица, которые используют данные российских физлиц (по договорам, например).

Если компания передала данные иностранной организации для обработки, то ответственность перед физлицом несут обе.

Подготовлено по материалам СПС КонсультантПлюс.

Больше информации - в видеосеминаре о персональных данных. Кликните на кнопку ниже.

Видеосеминар о персональных данных