Top.Mail.Ru

Защита персональных данных: новая порция изменений

С 1 сентября 2022 г. в 3 раза сократили срок ответа на обращения граждан об обработке их персональных данных, а также на выполнение ряда других действий организацией. Уточнили состав сведений, который в обязательном порядке должен быть указан в поручении при передаче персональных данных третьим лицам. Принципиально изменились правила трансграничной передачи данных. В утечке собранных персональных данных оператор теперь должен сам оперативно сознаваться госорганам. При этом обсуждается введение крупных штрафов за такие «оплошности». Изменили правила сбора биометрических данных населения и их передачи в государственную информационную систему. Усложнили доступ к данным о владельцах недвижимости в ЕГРН.

Большинство норм Федерального закона от 14.07.2022 № 266‑ФЗ «О внесении изменений... 1» вступили в силу с сентября 2022 года. Однако некоторые положения начнут действовать лишь с марта 2023 года (какие именно, отметим ниже). Данная порция изменений касается:

  • обработки персональных данных в целом (в основном в профильном законе) и
  • доступа к сведениям о владельцах недвижимости в ЕГРН.

Цель поправок – усиление защиты персональных данных людей, неприкосновенности их частной жизни.

Дело в том, что в последнее время появилось множество сервисов в Интернете, которые незаконно собирают, хранят и распространяют персональную информацию, включая паспортные данные, сведения о недвижимости, перелетах и иные личные сведения. В частности, деанонимизация, влекущая раскрытие персональных данных военнослужащих и их семей, создает непосредственную угрозу их жизни и безопасности в текущих условиях.

Более того, нелегальные сервисы, как правило, расположены за пределами РФ и потому не подпадают под нашу юрисдикцию. Трансграничная передача персданных российскими законами практически не регулировалась, при этом она осуществляется большим количеством операторов повсеместно и в больших масштабах.

Изменения в Законе о персданных

По новым правилам нормы Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных» (далее – ​Закон № 125‑ФЗ) следует применять в том числе и к обработке персданных граждан РФ, осуществляемой иностранными юридическими и физическими лицами как по договору, так и на основании согласия гражданина на эту обработку (другими словами – ​независимо от конкретного вида обработки данных). Если обработку данных им будет поручать российский оператор, то он будет нести ответственность за их действия наравне с ними (ч. 1.1 и 6 ст. 1 Закона № 152‑ФЗ).

Новые запреты

В договор с субъектом персональных данных нельзя включать условия (п. 5 ч. 1 ст. 6 Закона № 152‑ФЗ):

  • ограничивающие его права и свободы. Например, запрещать отзыв согласия на обработку персданных, ставить дополнительные условия для такого отзыва (в т.ч. устанавливать значительный срок, за который нужно подать уведомление оператору);
  • об обработке персданных несовершеннолетних (если иное специально не предусмотрено законодательством РФ);
  • когда согласие человека на обработку его персданных считается автоматически полученным даже при его бездействии.
    Скажем, у организации (оператора) может возникнуть соблазн не получать отдельное согласие у человека, а включить условие о заранее данном согласии в оферту (типовой договор), к которой тот присоединяется в целом, оговорив, что, если он не согласен с таким условием, то должен проставить соответствующее обозначение. Таким образом бездействие человека автоматически считается дачей согласия на обработку его персданных.
    Раньше в договорах банковского вклада некоторые банки нередко включали условие, что при несогласии вкладчика с обработкой его персональных данных, включая биометрические, он должен прямо об этом в договоре написать, в ином случае согласие считается полученным. Теперь так делать нельзя!

Поручение по обработке персданных

Новая редакция ч. 3 ст. 6 Закона № 152‑ФЗ более детально регламентирует вопросы поручения оператором обработки персданных субъектов иным лицам. В самом поручении на обработку нужно определить:

  • перечень данных;
  • перечень действий по их обработке;
  • цели и иные обязательные требования;
  • право оператора и корреспондирующую обязанность лица, которому...

Вы видите 20% этой статьи. Выберите свой вариант доступа

Купить эту статью
за 500 руб.
Подписаться на
журнал сейчас
Получать бесплатные
статьи на e-mail

Читайте все накопления сайта по своему профилю, начиная с 2010 г.
Для этого оформите комплексную подписку на выбранный журнал на полугодие или год, тогда:

  • его свежий номер будет ежемесячно приходить к вам по почте в печатном виде;
  • все публикации на сайте этого направления начиная с 2010 г. будут доступны в течение действия комплексной подписки.

А удобный поиск и другая навигация на сайте помогут вам быстро находить ответы на свои рабочие вопросы. Повышайте свой профессионализм, статус и зарплату с нашей помощью!

Рекомендовано для вас

Об автоматической обработке персданных работников теперь надо уведомлять Роскомнадзор

Если раньше организация обрабатывала персональные данные своих работников только в целях осуществления трудовых отношений, то уведомлять Роскомнадзор об этом не требовалось. С 1 сентября 2022 г. это нужно делать всем работодателям, которые обрабатывают такие данные автоматически. С этим нововведением и поможем вам разобраться. Отсутствие специальной кадровой программы, но присутствие персональных данных работников, например, в бухгалтерской программе «1С:» считается их автоматической обработкой? До какого срока важно успеть уведомить Роскомнадзор? В какой форме это делать? Ну и конечно, какая ответственность грозит нарушителям? Уведомлять надо также о неправомерной или случайной передаче персональных данных, а также об их трансграничной передаче... и даже если вы просто выписываете пропуска на свою территорию, используя автоматизацию.

Работник не сообщил об изменении персональных данных

Можно ли привлечь к дисциплинарной ответственности работника за то, что он не сообщил об изменении своих персональных данных? Если можно, то где и как это прописать (в трудовом договоре, ЛНА)? Или прописывать ничего не нужно, ответственность по умолчанию у работника будет?

Персональные данные потребителей – изменения в законе

С 1 сентября 2022 г. вступают в силу изменения, призванные повысить защиту персональных данных, собираемых у потребителей. К чему надо успеть подготовиться организациям, которые собирают такие данные? На какие вопросы потребителя и за сколько дней надо отвечать? Как увеличили штраф за нарушения? Обратите внимание: дополнительную настройку порядка работы с персональными данными сейчас сделали не в законе о персональных данных, а в законе о защите прав потребителей. И уже прорабатывается новая порция изменений.

Организация работы с персональными данными службой делопроизводства

Изменения Закона о персональных данных – это повод провести аудит и актуализацию работы с персональными данными в организации. Что стоит сделать службе делопроизводства совместно с кадровой службой: какие приказы и ЛНА проверить, какие формы документов утвердить (опубликовали образцы новой разновидности согласия (на распространение персданных) и отзыва согласия). Описана современная лучшая практика работы с личными делами сотрудников с учетом защиты персональных данных: кого стоит знакомить с личными делами, как это организовать и документировать; как хранить часть документов о работнике вне личного дела (чтобы после увольнения не изымать из него лишнее перед сдачей в архив). Сколько и как хранить уведомления и согласия на обработку персданных (с примером отражения в номенклатуре дел и оптимальной систематизацией документов внутри дела).

Об автоматической обработке персданных работников теперь надо уведомлять Роскомнадзор

Если раньше организация обрабатывала персональные данные своих работников только в целях осуществления трудовых отношений, то уведомлять Роскомнадзор об этом не требовалось. С 1 сентября 2022 г. это нужно делать всем работодателям, которые обрабатывают такие данные автоматически. С этим нововведением и поможем вам разобраться. Отсутствие специальной кадровой программы, но присутствие персональных данных работников, например, в бухгалтерской программе «1С:» считается их автоматической обработкой? До какого срока важно успеть уведомить Роскомнадзор? В какой форме это делать? Ну и конечно, какая ответственность грозит нарушителям? Уведомлять надо также о неправомерной или случайной передаче персональных данных, а также об их трансграничной передаче... и даже если вы просто выписываете пропуска на свою территорию, используя автоматизацию.

Кого могут назначить ответственным за обработку персональных данных?

Каковы обязанности лица, назначенного ответственным за организацию обработки персональных данных? На кого чаще всего возлагают такую обязанность? Могут ли ее возложить на руководителя службы документационного обеспечения управления или ее рядового сотрудника? Кроме ответов на эти вопросы в статье вы найдете образец приказа о назначении ответственного.

Как оформить согласие на обработку персональных данных

Что изменилось с 1 марта 2021 г. В какой форме может быть оформлено согласие на обработку персональных данных: отдельный документ; включение в анкету, заявление, договор; подписание на сайте путем нажатия кнопки и введения полученного пароля. В каких случаях и какой форме необходимо получать согласие на распространение персданных. Приводим образцы согласий работников, в т.ч. для ситуации, когда данные передаются сторонней организации при аутсорсинге бухгалтерского и кадрового учета. Показываем, что стоит включить в согласие, если оно оформляется на этапе проведения собеседований с кандидатами.

Согласие работника на обработку персональных данных: ответы на 7 главных вопросов

Даем ответы на самые распространенные вопросы. Всегда ли необходимо согласие работника на обработку персональных данных? Оказывается, что нет. Что должно содержать в себе письменное согласие на обработку персональных данных? Чем грозит неоформление или неправильное оформление согласия? За каждого ли работника, у которого не взято согласие, работодателя могут оштрафовать на 75 000 рублей? Требуется ли согласие на обработку персональных данных, содержащихся в резюме соискателя? Можно ли включить согласие в текст заключаемого трудового договора? Как работодатель может воспрепятствовать работнику отказаться дать или отозвать согласие на обработку персональных данных?