Масштабные поправки в процесс работы с персональными данными вносит Закон № 266-ФЗ от 14.07.2022г. Большая часть корректировок вступает в действие с 1-ого сентября 2022, меньшая – с 1-ого марта 2023г. Рассказываем об основных изменениях в законе о персональных данных, которые важны для предприятий всех правовых форм собственности и видов деятельности.
Что подразумевают под персональными данными
Это любые сведения о физлице, по которым его можно идентифицировать. К примеру, ФИО, возраст, паспортные данные, пол, адрес проживания, телефон. При устройстве на работу это также информация из трудовой книжки, СНИЛС, диплома, документов воинского учета. На основании этих данных работодатель оформляет сотрудника на работу, вносит сведения в трудовую книжку, начисляет зарплату. Таким образом любое предприятие или ИП становится оператором ПД (персональных данных).
Персональные данные – что нового с 1 сентября
Ранее по Закону РФ 152-ФЗ большая часть фирм и предпринимателей могла обрабатывать персональные данные и не уведомлять контрольные органы. С 1-ого сентября оператор обязан уведомить Роскомнадзор до того, как начнет работу с информацией. Исключение предусмотрено для следующих ситуаций (по части 2 статьи 22 № 152-ФЗ):
- При обработке информации без применения средств автоматизации;
- При включении данных в ГИС, созданные в целях защиты общественного порядка и государственных интересов;
- При обработке информации с учетом положений Закона от 09.02.2007 № 16-ФЗ.
Для защиты персональных данных Закон № 152-ФЗ в обновленной редакции обязывает операторов уведомлять Роскомнадзор о случаях утечки информации. Сделать это необходимо в течение 24 часов, а провести расследование и сообщить о результатах требуется в течение 72 часов.
Среди других существенных изменений в Закон о сборе персональных данных нужно отметить следующие поправки:
- Сокращение срока подачи уведомлений – в рамках реагирования на запросы Роскомнадзора и/или субъектов ПД (персональных данных) предоставить ответ теперь требуется в течение 10 рабочих дней, а не 30, как было ранее;
- Запрет на биометрическую работу с данными лиц до 18 лет – запрет распространяется на использование фото подростков, отпечатков пальцев, аудио- и видеозаписей, результатов анализа ДНК и т.д.;
- Подключение к ГосСОПКе – обновленная редакция закона о персональных данных в РФ обязывает всех операторов подключаться к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак. С ее помощью расследуются кибератаки, выявляются возможные уязвимости в ИС (информационные системы);
- Политика обработки ПД – все операторы без исключений обязаны указывать в политике перечень и категорию обрабатываемых данных; срок, способы хранения и обработки; категории субъектов ПД; механизм уничтожения данных. Информацию требуется отражать для каждой из возможных целей обработки. Аналогичные требования введены для Положения о ПД на предприятии;
- Согласие на обработку ПД – в связи с корректировками законодательства согласия на обработку ПД должны быть не только сознательными, информированными и конкретными, как ранее, но и однозначными, а также предметными. Четкого определения данных понятий в законодательстве на текущий момент нет.
Изменения с 1 марта 2023 года
Начиная с 1-ого марта 2023г, при трансграничной передаче ПД в дополнение к основному вводится дополнительный уведомительный порядок. Если предприятие передает в иностранные государства ПД, требуется предоставить уведомление в Роскомнадзор. По результатам рассмотрения будет вынесено решение о разрешении или запрещении/ограничении на передачу информации.
Ответственность
Усилены меры ответственности в отношении иностранных обработчиков персональных данных. Это те лица, кто обрабатывает ПД на основании и согласно поручению оператора. До вступления в действие поправок такие лица отвечали только перед оператором ПД, но не перед субъектами данных. С 1-ого сентября, согласно пунктам 3а, 3в статьи 1 Закона № 266-ФЗ, ужесточена ответственность перед субъектами ПД.
Помните, что следование закону о персональных данных не только делает вас законопослушным гражданином, но и защищает персональные данные ваши и ваших клиентов. Переживаете о сохранности ваших баз данных 1С? Арендуйте выделенный сервер. Надежный и производительный виртуальный сервер с возможностью самостоятельного администрирования защитит ваши данные от любых угроз!
