1 сентября в силу вступили поправки к Федеральному закону «О персональных данных». Мы подготовили краткий обзор этих изменений.
Уведомление Роскомнадзора об обработке персональных данных (далее – ПД)
Для обработки ПД в рамках трудовых отношений необходимо направлять уведомление в Роскомнадзор. При этом в уведомлении необходимо для каждой цели обработки ПД указывать категории персональных данных, категории субъектов, персональные данные которых обрабатываются, правовое основание обработки персональных данных, перечень действий с персональными данными, способы обработки персональных данных. Если данные меняются, повторное уведомление нужно направить не позднее 15 числа следующего месяца.
Рекомендуем проверить случаи обработки ПД, соотнести с перечнем исключений, установленных законом, направить уведомление об обработке ПД в Роскомнадзор.
Дополнительные требования к согласию на обработку ПД
Согласие субъекта ПД теперь должно быть предметным и однозначным. Рекомендуем пересмотреть свои формы согласия на обработку ПД и скорректировать их в соответствии с новыми положениями.
Запрет на некоторые условия договоров, заключаемых с субъектами ПД
Такой договор не может содержать положения, которые ограничивают права и свободы субъекта ПД, устанавливают случаи обработки данных несовершеннолетних или допускают в качестве условия заключения договора бездействие субъекта ПД.
Рекомендуем пересмотреть ваши локальные нормативные акты о порядке обработки ПД, скорректировать шаблоны договоров.
Предоставление биометрических ПД не может быть обязательным
Исключения – обработка биометрических ПД в связи с реализацией международных договоров РФ, в связи с осуществлением правосудия и исполнением судебных актов и со случаями реализации публичных обязательных мер. Оператор не может отказать в обслуживании, если субъект отказывается от предоставления биологических ПД.
Сокращаются сроки реакции оператора на запросы субъектов ПД и Роскомнадзора
Срок для ответа на запрос составляет 10 раб. дней с момента обращения либо получения оператором запроса. Срок может быть продлен, но не более чем на 5 раб. дней. Рекомендуем скорректировать локальные нормативные акты по обработке ПД в части сроков ответов на запросы субъектов ПД.
Скорректированы требования к локальным нормативным актам по обработке ПД и к обеспечению безопасности ПД
– В локальном нормативном акте по обработке ПД необходимо указать цели обработки ПД, для каждой цели указать: категорию, перечень ПД, категории субъектов, способы, сроки их обработки и хранения, порядок уничтожения ПД при достижении целей обработки или наступлении иных законных оснований.
– Необходимо разработать систему взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПК). Порядок обеспечения безопасности определяется актом ФСБ РФ и Роскомнадзора (сейчас такой акт не принят). После принятия акта нужно учесть все установленные требования, возможно составить регламент взаимодействия с системой.
– При неправомерной или случайной передаче ПД нужно уведомить об этом Роскомнадзор в течение 24 часов.
Скорректированы требования к поручению оператора обработчику
В поручении должны быть указаны: перечень ПД, действий и операций с ПД, цель обработки ПД, обязанность соблюдать требования о конфиденциальности, предоставлять по запросу оператора информацию о соблюдении мер, указанных в поручении и информировать оператора о фактах неправомерной или случайной передачи ПД. При поручении обработки ПД иностранному обработчику, ответственность перед субъектом ПД несет как оператор, так и обработчик. Рекомендуем скорректировать все формы поручений для обработчиков.
Помимо вышеуказанного, изменения внесены в правила трансграничной передачи ПД. Перед внесением изменений необходимо ознакомиться с полным текстом закона.