Приняли поправки в Закон о персональных данных. Усилили меры, которые должен принимать оператор для безопасности обработки персданных. Детализировали правила трансграничной передачи персданных и ее запрета. Часть требований вступает в силу 01.09.2022, другая – 01.03.2023.
Изменения с 1 сентября
Теперь согласие на обработку персональных данных должно быть предметным и однозначным. Как это повлияет на оформление согласия, неизвестно. Возможно, Роскомнадзор подготовит разъяснения по нововведениям.
Сократили срок предоставления субъекту персданных сведений об обработке его данных.
Теперь ответ надо дать в течение 10 рабочих дней вместо 30. Срок можно продлить максимум на пять рабочих дней. Для этого надо направить мотивированное уведомление субъекту персданных и указать причины продления срока. Подобное правило действует и в случае, если субъект персданных попросит прекратить обработку своих данных. Вы обязаны прекратить обрабатывать данные в течение 10 рабочих дней. Теперь каждый оператор должен изложить в локальных актах по вопросам обработки персональных данных для каждой цели обработки:
- категории и перечень обрабатываемых персональных данных;
- категории субъектов, персональные данные которых обрабатываются; способы, сроки их обработки и хранения;
- порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.
Установили обязанность оператора обеспечить взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы России (ГосСОПКА). Порядок взаимодействия должен определить ФСБ. Надо передавать информацию о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных. Кроме того, необходимо уведомить Роскомнадзор:
- в течение 24 часов – о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персданных, предполагаемом вреде, принятых мерах по устранению последствий;
- в течение 72 часов – о результатах внутреннего расследования инцидента и предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
Сократили перечень ситуаций, когда не надо направлять уведомление в Роскомнадзор о начале обработки персданных. Оставили только три:
- данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- оператор обрабатывает данные исключительно без использования средств автоматизации;
- обрабатывают данные для транспортной безопасности.
Изменили также перечень сведений, которые надо указывать в уведомлении.
Изменения с 1 марта 2023 года
Детализировали правила оформления трансграничной передачи персданных. Расширили перечень оснований, по которым Роскомнадзор может запретить такую передачу. Установили для этого сроки и процедуру.
Скорректировали обязанность оператора проводить оценку вреда, который может быть причинен субъектам в случае нарушения Закона о персданных. Теперь это надо делать в соответствии с требованиями, установленными Роскомнадзором. Пока таких требований не утвердили.
Если прекращаете обрабатывать данные по требованию субъекта, то надо подтвердить уничтожения персданных в соответствии с требованиями Роскомнадзора. Пока такого документа нет.
Если меняются сведения, которые вы указали в уведомлении о начале обработки персданных, вы должны уведомить об этом Роскомнадзор – не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения. А если вы прекратили обработку, то уведомить надо в течение 10 рабочих дней.
#образование #детский сад #воспитатель