Как изменилась защита персональных данных с 1 сентября 2022 года

1 сентября вступили в силу поправки в ФЗ №152 «О персональных данных» и в ФЗ №2300-1 «О защите прав потребителей». Вот что это означает для обычных людей.

Что планируется улучшить

Изменения в законе направлены на усиление контроля за персональными данными и предотвращение масштабных утечек.

По данным Роскомнадзора, с начала 2022 года в открытый доступ попали 40 различных баз данных российских граждан, в которых находилось более 300 миллионов записей.

1. Контроль за данными

Вот какие меры по усилению контроля указаны в новой версии закона:

Быстрое уведомление об утечках. Оператор персональных данных обязан при утечке данных уведомить об этом Роскомнадзор в течение 24 часов, а также провести внутреннее расследование и уведомить службу о его результатах в течение 72 часов.

Усиление ответственности по отношению к иностранным обработчикам данных. Раньше обработчик нёс ответственность только перед оператором данных, но не перед людьми. С 1 сентября обработчик несёт ответственность перед каждым владельцем персональных данных. Он должен соблюдать конфиденциальность и не допускать утечек.

Усиление контроля государства. Прежде чем приступать к обработке любых персональных данных, оператор должен с помощью специальной анкеты сообщить в Роскомнадзор, что намерен это сделать. До внесения поправок был ряд случаев, когда оператор мог этого не делать.

Применение к иностранцам. Закон будет применяться не только к гражданам России, но и к иностранным юридическим и физическим лицам, если обработку персональных данных проводят на основании договора с гражданином РФ или с его согласия.

Открытость и прозрачность для пользователя. Теперь на страницах сайтов, где осуществляется сбор данных, обязательно должна быть опубликована политика сбора персональных данных. Так, чтобы любой желающий мог с ней ознакомиться.

Новые требования к согласию. До поправок согласие на обработку персональных данных должно было быть «конкретным, информированным и сознательным», а с 1 сентября — ещё и «предметным и однозначным». Это означает, что в новом согласии не должно быть пунктов, которые можно трактовать по-разному. Как и раньше, согласие добровольное и его можно отозвать в любой момент.

2. Скорость обработки данных

Оператор должен быстрее реагировать на запросы граждан — владельцев персональных данных — и Роскомнадзора.

• Быстрота ответа. Оператор данных должен предоставить Роскомнадзору или физлицу нужные сведения, касающиеся обработки его персональных данных, в течение 10 рабочих дней, а не 30, как было раньше. Этот срок может быть увеличен на пять рабочих дней, если оператор направит уведомление, в котором укажет причины этого продления.
• Скорость отзыва данных. Если владелец данных обращается с требованием прекратить обработку его персональных данных, оператор должен остановить её в течение 10 дней.

3. Работа с биометрией

С 1 сентября 2022 года запрещено отказывать гражданам в оказании услуг, если они не сдают биометрию и она не является обязательным требованием для оказания услуги. Биометрией считаются те данные, по которым можно установить личность человека на основании физиологических и биологических характеристик, то есть, например, фото или отпечаток пальца.

Теперь можно отказываться фотографироваться, если этого не прописано в правилах оказания услуги. Это распространяется и на выход на работу: если должность этого не подразумевает, сотрудник имеет право отказаться предоставлять биометрию, а также отказаться от фото- или видеосъёмки.

4. Запрет на сбор данных в магазинах

Согласно изменениям в законе «О защите прав потребителей», магазины больше не смогут требовать персональные данные без согласия покупателей. Это касается как офлайн-, так и онлайн-магазинов.

Указывать полное имя, номера банковской карты и телефона, электронный и домашний адрес теперь потребуется, только если это необходимо для оформления покупки. Покупатель по закону может потребовать продавца пояснить, зачем ему нужны персональные данные.

Если магазин не захочет обслуживать покупателя, который не делится с ним персональными данными, покупатель может на него пожаловаться и ему может полагаться штраф. Штраф на должностных лиц составляет от 5000 ₽ до 10 000 ₽, на юрлиц — от 30 000 ₽ до 50 000 ₽.