Top.Mail.Ru

Защита персональных данных: новая порция изменений

С 1 сентября 2022 г. в 3 раза сократили срок ответа на обращения граждан об обработке их персональных данных, а также на выполнение ряда других действий организацией. Уточнили состав сведений, который в обязательном порядке должен быть указан в поручении при передаче персональных данных третьим лицам. Принципиально изменились правила трансграничной передачи данных. В утечке собранных персональных данных оператор теперь должен сам оперативно сознаваться госорганам. При этом обсуждается введение крупных штрафов за такие «оплошности». Изменили правила сбора биометрических данных населения и их передачи в государственную информационную систему. Усложнили доступ к данным о владельцах недвижимости в ЕГРН.

Большинство норм Федерального закона от 14.07.2022 № 266‑ФЗ «О внесении изменений... 1» вступили в силу с сентября 2022 года. Однако некоторые положения начнут действовать лишь с марта 2023 года (какие именно, отметим ниже). Данная порция изменений касается:

  • обработки персональных данных в целом (в основном в профильном законе) и
  • доступа к сведениям о владельцах недвижимости в ЕГРН.

Цель поправок – усиление защиты персональных данных людей, неприкосновенности их частной жизни.

Дело в том, что в последнее время появилось множество сервисов в Интернете, которые незаконно собирают, хранят и распространяют персональную информацию, включая паспортные данные, сведения о недвижимости, перелетах и иные личные сведения. В частности, деанонимизация, влекущая раскрытие персональных данных военнослужащих и их семей, создает непосредственную угрозу их жизни и безопасности в текущих условиях.

Более того, нелегальные сервисы, как правило, расположены за пределами РФ и потому не подпадают под нашу юрисдикцию. Трансграничная передача персданных российскими законами практически не регулировалась, при этом она осуществляется большим количеством операторов повсеместно и в больших масштабах.

Изменения в Законе о персданных

По новым правилам нормы Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных» (далее – ​Закон № 125‑ФЗ) следует применять в том числе и к обработке персданных граждан РФ, осуществляемой иностранными юридическими и физическими лицами как по договору, так и на основании согласия гражданина на эту обработку (другими словами – ​независимо от конкретного вида обработки данных). Если обработку данных им будет поручать российский оператор, то он будет нести ответственность за их действия наравне с ними (ч. 1.1 и 6 ст. 1 Закона № 152‑ФЗ).

Новые запреты

В договор с субъектом персональных данных нельзя включать условия (п. 5 ч. 1 ст. 6 Закона № 152‑ФЗ):

  • ограничивающие его права и свободы. Например, запрещать отзыв согласия на обработку персданных, ставить дополнительные условия для такого отзыва (в т.ч. устанавливать значительный срок, за который нужно подать уведомление оператору);
  • об обработке персданных несовершеннолетних (если иное специально не предусмотрено законодательством РФ);
  • когда согласие человека на обработку его персданных считается автоматически полученным даже при его бездействии.
    Скажем, у организации (оператора) может возникнуть соблазн не получать отдельное согласие у человека, а включить условие о заранее данном согласии в оферту (типовой договор), к которой тот присоединяется в целом, оговорив, что, если он не согласен с таким условием, то должен проставить соответствующее обозначение. Таким образом бездействие человека автоматически считается дачей согласия на обработку его персданных.
    Раньше в договорах банковского вклада некоторые банки нередко включали условие, что при несогласии вкладчика с обработкой его персональных данных, включая биометрические, он должен прямо об этом в договоре написать, в ином случае согласие считается полученным. Теперь так делать нельзя!

Поручение по обработке персданных

Новая редакция ч. 3 ст. 6 Закона № 152‑ФЗ более детально регламентирует вопросы поручения оператором обработки персданных субъектов иным лицам. В самом поручении на обработку нужно определить:

  • перечень данных;
  • перечень действий по их обработке;
  • цели и иные обязательные требования;
  • право оператора и корреспондирующую обязанность лица, которому...

Вы видите 20% этой статьи. Выберите свой вариант доступа

Купить эту статью
за 500 руб.
Подписаться на
журнал сейчас
Получать бесплатные
статьи на e-mail

Читайте все накопления сайта по своему профилю, начиная с 2010 г.
Для этого оформите комплексную подписку на выбранный журнал на полугодие или год, тогда:

  • его свежий номер будет ежемесячно приходить к вам по почте в печатном виде;
  • все публикации на сайте этого направления начиная с 2010 г. будут доступны в течение действия комплексной подписки.

А удобный поиск и другая навигация на сайте помогут вам быстро находить ответы на свои рабочие вопросы. Повышайте свой профессионализм, статус и зарплату с нашей помощью!

Рекомендовано для вас

Исполнение запросов внешних организаций о предоставлении персональных данных

На чьи запросы о представлении персональных данных организация обязана отвечать. В какие сроки (показываем нормативно закрепленные правила и практику). Как организовать этот процесс. Даем образцы оформления разных документов, направляемых в ответ: для представления запрошенных сведений или копий документов, для отказа из-за невозможности идентифицировать субъект персданных или из-за невозможности в принципе их предоставления автору запроса.

Предоставление поликлинике персональных данных работников

Учреждение здравоохранения (поликлиника) запросило у работодателя персональные данные работников, зарегистрированных на территории района. Правомерен ли будет отказ в предоставлении поликлинике персональных данных работников? Не обязывает ли работодателя п. 4 ч. 2 ст. 10 Федерального закона № 152‑ФЗ предоставлять персональные данные по запросу медицинских учреждений?

Примеры согласий работников на обработку персональных данных «на все случаи жизни» (часть 1)

Покажем, как составить 9 вариантов согласий работников на обработку их персональных данных: кандидата на вакантную должность, при приеме на работу, на обработку биометрических данных (при оформлении пропуска), специальной категории персданных, их передачу третьим лицам или сбор у них, на распространение и др. Объясним, когда требуется оформить отдельные согласия и как все-таки можно несколько согласий объединить в едином документе. Предупредим о крупных штрафах за ошибки. Приведем сроки хранения. В этом номере журнала читайте первую часть этой подробной статьи.

Об автоматической обработке персданных работников теперь надо уведомлять Роскомнадзор

Если раньше организация обрабатывала персональные данные своих работников только в целях осуществления трудовых отношений, то уведомлять Роскомнадзор об этом не требовалось. С 1 сентября 2022 г. это нужно делать всем работодателям, которые обрабатывают такие данные автоматически. С этим нововведением и поможем вам разобраться. Отсутствие специальной кадровой программы, но присутствие персональных данных работников, например, в бухгалтерской программе «1С:» считается их автоматической обработкой? До какого срока важно успеть уведомить Роскомнадзор? В какой форме это делать? Ну и конечно, какая ответственность грозит нарушителям? Уведомлять надо также о неправомерной или случайной передаче персональных данных, а также об их трансграничной передаче... и даже если вы просто выписываете пропуска на свою территорию, используя автоматизацию.

Как оформить согласие на обработку персональных данных

Что изменилось с 1 марта 2021 г. В какой форме может быть оформлено согласие на обработку персональных данных: отдельный документ; включение в анкету, заявление, договор; подписание на сайте путем нажатия кнопки и введения полученного пароля. В каких случаях и какой форме необходимо получать согласие на распространение персданных. Приводим образцы согласий работников, в т.ч. для ситуации, когда данные передаются сторонней организации при аутсорсинге бухгалтерского и кадрового учета. Показываем, что стоит включить в согласие, если оно оформляется на этапе проведения собеседований с кандидатами.

Примеры согласий работников на обработку персональных данных «на все случаи жизни» (часть 1)

Покажем, как составить 9 вариантов согласий работников на обработку их персональных данных: кандидата на вакантную должность, при приеме на работу, на обработку биометрических данных (при оформлении пропуска), специальной категории персданных, их передачу третьим лицам или сбор у них, на распространение и др. Объясним, когда требуется оформить отдельные согласия и как все-таки можно несколько согласий объединить в едином документе. Предупредим о крупных штрафах за ошибки. Приведем сроки хранения. В этом номере журнала читайте первую часть этой подробной статьи.

Кого могут назначить ответственным за обработку персональных данных?

Каковы обязанности лица, назначенного ответственным за организацию обработки персональных данных? На кого чаще всего возлагают такую обязанность? Могут ли ее возложить на руководителя службы документационного обеспечения управления или ее рядового сотрудника? Кроме ответов на эти вопросы в статье вы найдете образец приказа о назначении ответственного.

Организация работы с персональными данными службой делопроизводства

Изменения Закона о персональных данных – это повод провести аудит и актуализацию работы с персональными данными в организации. Что стоит сделать службе делопроизводства совместно с кадровой службой: какие приказы и ЛНА проверить, какие формы документов утвердить (опубликовали образцы новой разновидности согласия (на распространение персданных) и отзыва согласия). Описана современная лучшая практика работы с личными делами сотрудников с учетом защиты персональных данных: кого стоит знакомить с личными делами, как это организовать и документировать; как хранить часть документов о работнике вне личного дела (чтобы после увольнения не изымать из него лишнее перед сдачей в архив). Сколько и как хранить уведомления и согласия на обработку персданных (с примером отражения в номенклатуре дел и оптимальной систематизацией документов внутри дела).