В этой статье мы рассмотрим изменения в Законе о персональных данных, которые вступают в силу с 1 сентября 2022 года.
Персональные данные
Любые сведения о человеке, с помощью которых его возможно опознать, выйти с ним на связь, такие как фамилия, имя, отчество, пол, возраст, местожительства, контакты и другие являются персональными данными. При приёме на работу организация запрашивает у нового сотрудника целый пакет документов, в котором содержатся персональные данные. Таким образом, работодатель автоматически становится оператором персональных данных, и любая операция с ними считается обработкой персональных данных.
Нужно учитывать, что любые действия с персональными данными требуют согласия человека, которому они принадлежат, поэтому мы подписываем с сотрудниками согласие на обработку и распространение персональных данных.
Предоставление информации Роскомнадзору
На сегодняшний день до начала обработки персональных данных организация в обязательном порядке должна сообщить о предстоящей обработке Роскомнадзор. Эта обязанность касается как организаций, так и ИП. Но есть исключения, например, вам не потребуется уведомлять Роскомнадзор, если персональные данные физического лица нужны исключительно в целях исполнения заключённого с ним договора.
Также не требует предварительного уведомления Роскомнадзора и обработка персональных сведений, включающих в себя только фамилии, имена и отчества физических лиц. Кроме того, без уведомления Роскомнадзора разрешается осуществлять обработку персональных данных, необходимых в целях однократного пропуска человека на территорию организации или ИП.
Но с 1 сентября 2022 года во всех перечисленных случаях организации должны будут извещать Роскомнадзор о своём намерении вести сбор и обработку персональных данных. Уведомление нужно будет подать в ведомство до начала обработки данных. Иначе организация будет оштрафована за непредоставление Роскомнадзору сведений, необходимых для осуществления контрольных полномочий.
Срок ответа ведомству сократили с 30 календарных до 10 рабочих дней.
Штрафы согласно КоАп для должностных лиц организации составляют от 300 до 500 рублей. Аналогичный штраф уплатят и ИП, совершившие обработку персональных данных без предварительного оповещения Роскомнадзора. При этом штраф для организаций устанавливается в размере от 3 000 до 5 000 рублей.
Но, если для обработки персональных данных не используют средства автоматизации, уведомлять Роскомнадзор не нужно. Например, в бумажный журнал записывают данные о посетителях, которым выдают разовые пропуска.
Локальные акты по вопросам обработки персональных данных
В законе конкретизировали требование о том, что локальные акты должны содержать:
- категории и перечни обрабатываемых данных;
- категории субъектов данных;
- способы и сроки обработки, хранения данных;
- порядок их уничтожения.
Эти положения нужно установить для каждой цели обработки данных. Если организация собирает персональные данные граждан через свой сайт, нужно убедиться, что документ о политике обработки данных и сведения о совершаемых организацией требованиях к их защите опубликованы на страницах сайта, где непосредственно идёт сбор персональных данных (например, на страницах с формами, которые заполняют пользователи).
Рада быть вам полезной!