Для операторов персональных данных закон предусматривает ряд новых обязанностей и закрепят некоторые запреты.
1) уведомлять Роскомнадзор о планах обрабатывать личную информацию придется в том числе в случаях, когда эти сведения:
относятся к работникам;
принадлежат контрагентам оператора, а он использует персональные сданные, чтобы исполнять договоры или заключать новые соглашения с теми же гражданами (при этом сведения не распространяют и не передают третьим лицам без согласия);
нужны для однократного пропуска гражданина на территорию оператора или для аналогичных целей.
Пока в этих и некоторых других случаях извещать ведомство не нужно.
2) оператор персональных данных должен будет до начала обработки личных сведений, которые он получил от другого источника, перечислить такие данные их субъекту.
3) теперь нужно будет работать с госсистемой обнаружения, предупреждения и ликвидации последствий кибератак на информационные ресурсы РФ. В частности, через нее придется сообщать об инцидентах, из-за которых произошла утечка личных сведений.
4) операторам запретят отказывать физическому лицу в услугах, если оно не хочет предоставлять биометрические сведения или соглашаться на обработку персональных данных, если по закону получать согласие на нее необязательно.
5) с 30 суток до 10 рабочих дней сократят время на то, чтобы оператор сообщил Роскомнадзору по его запросу нужные данные.
Сам закон здесь https://sozd.duma.gov.ru/bill/101234-8#bh_note
В мае мы разбирали этот документ, когда он был еще в стадии законопроекта: https://t.me/doingbusinesstogether/825