С 1 сентября 2022 года вступают в силу новые правила работы с персональными данными. Если не соблюдать их, грозит штраф 500 тысяч рублей. Разъясняем, как изменится работа с персональными данными и какие обязанности появятся у работодателей (Федеральный закон от 14.07.2022 №331-ФЗ).
Основные изменения с 1 сентября 2022 года
Поправки в Закон о персональных данных приняли 14 июля 2022 года. В законную силу новые правила работы с персональными данными вступят с 1 сентября 2022 года. Изменения коснутся всех операторов персональных данных, то есть организаций, которые вправе получать такую информацию и осуществлять ее обработку.
В их число входят:
- работодатели, которые владеют персональными данными своих сотрудников;
- государственные и муниципальные учреждения;
- физические лица, получающие личные данные своих клиентов;
- владельцы интернет-магазинов, компаний, принимающих заказы на сайте.
Расширенный перечень требований предъявляют юридическим лицам, а самые жесткие касаются государственных и муниципальных организаций.
Изменения коснулись требований к политике конфиденциальности — в локальном акте необходимо утвердить:
- Категорию и список персданных, которые использует компания.
- Методы и сроки их обработки, последующего хранения.
- Порядок и условия уничтожения данных.
Важно! Политику конфиденциальности, по новым правилам, необходимо размещать на каждой странице интернет-ресурса, где осуществляется сбор персданных.
Передача персональных данных третьим лицам
Операторы вправе передавать на аутсорс обработку персданных своих сотрудников или клиентов, не спрашивая их согласия. Сторонняя компания-обработчик действует по поручению оператора, соблюдая конфиденциальность и обрабатывая только те данные, которые указаны в договоре.
Уведомление Роскомнадзора
Работодателям вменили в обязанность уведомлять Роскомнадзор о своем намерении обрабатывать:
- личные сведения о сотрудниках компании;
- данные, обязательные для оформления разового пропуска на территорию компании;
- информацию, на законных основаниях принадлежащую контрагентам, если она нужна для заключения с ними новых соглашений, договоров.
Сроки предоставления сведений сократили с 30 до 10 рабочих дней. Форма уведомления утверждена приказом Роскомнадзора №94 от 30 мая 2017 г.
Защита от утечки данных
Чтобы предотвратить утечку информации, работодатели обязаны постоянно взаимодействовать с государственной системой обнаружения, предупреждения и ликвидации последствий кибератак на информационные ресурсы (ГосСОПК). При подозрении на утечку из базы личных данных необходимо в течение 24 часов сообщить в Роскомнадзор об инциденте и его предполагаемых причинах. А через 72 часа проинформировать контролирующие органы о результатах проведённого расследования.
Информирование субъекта
Получая персональные сведения о субъекте от третьих лиц, оператор обязан информировать об этом субъекта. Причем сделать это нужно до начала обработки данных. В уведомлении указывают источник получения личных сведений, их перечень, цели и правовые обоснования для обработки.
Отказ от биометрии
Операторы не вправе отказывать в услугах клиентам, которые не желают предоставлять свои биометрические данные, такие как отпечаток пальца, радужная оболочка глаза, температурная карта лица, если по закону это необязательно. По требованию владельца биометрических данных операторы обязаны прекратить их дальнейшую обработку — на это отведено 30 дней.
Сроки ответа на запросы клиентов
Пользователи вправе запросить у оператора информацию о том, какие именно персданные есть у компании и потребовать прекратить их обработку. Сроки реагирования на такие запросы сокращены с 30 до 10 рабочих дней, в некоторых случаях возможно продление до 15 дней.
Персональные данные покупателей
Обращение с персональными данными покупателей теперь регулируют два законодательных акта — закон № 266 «О персональных данных» и закон № 135-ФЗ «О защите прав потребителей». В соответствии с утвержденными изменениями, продавец не имеет права отказать в продаже товаров или услуг покупателю, который не желает предоставлять свои персданные.
Исключение предусмотрено для двух ситуаций:
- Отсутствие персональных данных препятствует выполнению обязательств продавца — например, номер телефона или адрес покупателя нужны для доставки заказанного товара.
- Законодательно установленные случаи — оформление договора с финансовой организацией, банком, мобильным оператором, а также при покупке ювелирных изделий на сумму, превышающую 40 000 руб.
Продавец не вправе требовать от покупателя персональные данные как при покупке, так и при возврате товара. Например, запрет распространяется на требование предъявить документ, удостоверяющий личность, при возврате денег за приобретенный ранее товар из-за выявленного брака.
Изменения в предоставлении согласия на обработку персональных данных
В соответствии с изменениями в правилах обработки и распространения персданных с 1 сентября 2022 года, операторам запрещено собирать личные данные несовершеннолетних, за исключением законодательно установленных случаев.
Согласие на обработку и распространение персданных в 2022 году с 1 сентября должно быть предметным и однозначным — бездействие субъекта, в частности, его молчание, отсутствие ответа на протяжении какого-то времени, согласием считать нельзя. В законодательстве отсутствует четкое определение понятий предметности и однозначности, предположительно, их можно определить как:
- Возможность установить перечень личных данных, цель их сбора, список операций с персданными.
- Выражение четкого согласия на обработку определенных сведений, которое невозможно трактовать никак иначе.
Субъект может подтвердить свое согласие, заполнив специальный документ и подписав его электронной цифровой подписью либо путем активации в пользовательском соглашении специального флажка — «чекбокса».
Для реализации требований работодатели обязаны провести ревизию имеющихся локальных актов и утвердить распоряжение, которое определяет перечень мероприятий по предупреждению и выявлению нарушений закона о ПД.
Помощь эксперта
Меня зовут Сергей Воробьев, эксперт по защите данных.
Защищаю ценную для Вас информацию и инфраструктуру:
- защита информации, содержащейся в информационных системах;
- прохождение проверок Роскомнадзора;
- приведение обработки персональных данных в соответствие с требованиями законодательства 152-ФЗ;
- экспертный аудит по информационной безопасности с выдачей практических рекомендаций;
- техническая поддержка информационных систем;
- анализ уязвимостей и тестирование на проникновение;
- выполнение требований 187-ФЗ;
- улучшение веб-безопасности.
