Войти Регистрация
Корзина 0 позиций
на сумму 0 руб.
Айтиллект
Инструменты для бизнеса
Новосибирск: (383) 233-07-00
Время работы:
Пн-Пт 09:00 - 18:00

Изменение закона о персональных данных с 1 сентября 2022 года

Контроль – жестче, прав – больше

Закон о работе с персональными данными: первые изменения вступили в силу с 1 сентября 2022 года

«Встала на учет в поликлинике по беременности – тут же начались звонки из магазинов детской одежды и косметики», «обратился в банк по поводу кредита – стали писать из других банков с предложением о кредитовании». Таких историй, наверное, каждый может рассказать, и не одну. Закон о персональных данных доработали, чтобы пресечь подобные утечки информации. Доработали давно, изменения начали вступать в силу только сейчас. Если коротко, то усовершенствование защиты персональных данных произошло с точки зрения права, параллельно государство усилило свой контроль. Насколько эффективными будут эти изменения? Время покажет. А пока нам всем нужно знать, какие права и обязанности есть у каждого.

Если говорить о конкретных сроках, то изменения в ФЗ-152 от 27.07.2006 внес закон ФЗ-266 еще 14 июля этого года, но в силу они вступают поэтапно: с 1 сентября и с 1 марта 2022 года. Последним начнет действовать положение о трансграничной передаче сведений и порядке предоставления информации в ЕГРН.

Напомним, 30 декабря 2020 года ФЗ-519 ввел три важнейших правила для согласия на обработку персональных данных:

  1. Молчание, бездействие не является согласием.
  2. Согласие действительно только в письменном виде.
  3. В письменном согласии можно запретить передачу персональных данных неограниченному кругу лиц.

Первые изменения ФЗ-152 уже вступили в силу. Организации, которые собирают персональные данные, например, медицинские клиники, обязаны проверить всю документацию и привести ее в соответствие. Роскомнадзор обещает по ходу работы по новым правилам дополнительно разъяснить, если будут возникать какие-то вопросы или споры.   

Принцип экстерриториальности в действии

Раньше в ФЗ-152 не было даже понятия о действии закона с привязкой к территории и кругу лиц, возможно это одна из причин, что персональные данные могли попасть в третьи руки. Отныне кордон для таких действий установлен – принцип экстерриториальности, то есть закон будет действовать не только там, где вы сообщили свои персональные данные, но, например, на всей территории России.

Новая редакция закона также упорядочивает работу с иностранными юридическими и физическими лицами, если они занимаются обработкой персональных данных на основе договорных отношения с гражданином России на основе его согласия.

Об утечках сообщать

3.jpg

Новые изменения ввели обязанность сообщать о фактах утечки - раньше такого даже не предполагалось.

В 2020 году эксперты изучали, насколько часто происходили утечки персональной информации. Из-за пандемии произошло масштабное распространение дистанционных видов обслуживания практически во всех сферах (интернет-магазины, телемедицина и прочее), активное внедрение и распространение IT-приложений. Это тенденции затронули даже тех, кто был категорически против виртуальных покупок, но пандемия заставила пересмотреть свое отношение. Как следствие, в руках многочисленных организаций оказался огромный массив персональных данных, но статистика мало отражала фактов утечек, поскольку они тщательно скрывались самими операторами.

Новые изменения закона призваны заставить операторов по сбору персональных данных противодействовать любым формам утечки данных, сотрудничать с созданной государственной системой – ГосСОПКА. Предполагается, что совместными усилиями выявление, предупреждение и устранение последствий компьютерных атак на базы данных будут более эффективными.

Новые изменения также регламентировали порядок действий в случае утечки информации:

  • в течение 24 часов уведомить Роскомнадзор о данном факте;
  • в течение 72 часов провести собственное расследование и сообщать о его результатах в Роскомнадзор;
  • найти виновных в утечке информации.

Реагировать - быстрее

Оператор по сбору персональных данных, например, медицинская организация или дошкольное учреждение отныне обязано быстро отвечать на запросы субъектов персональных данных и Роскомнадзора. Срок установлен – не позже 10 дней. Напомним, раньше можно было не торопиться и отвечать в течение 30 дней. Новая редакция закона разрешает продлить срок на 5 дней, если оператор обоснует невозможность ответить на запрос в установленный срок.

Те же сроки установлены и на запросы Роскомнадзора: 10 дней или 15, если есть уважительная причина.  

Если, например, физическое лицо обращается к оператору с требованием прекратить обработку его персональных данных, то реакция на данное обращение должна быть не позднее 10 дней. Реакция одна – прекратить обработку.

Ответственность – жестче

Ответственность стала жестче по отношению к обработке персональных данных российских граждан силами иностранных компаний, которая происходит по поручения третьей стороны. Отныне разработчик несет ответственность не только перед той организацией, которая поручила сбор и обработку данных, но и перед субъектом персональных сведений.    

Обработка персональных данных по новым правилам

Новая редакция закона требует, чтобы обработчик сведений соблюдал принципы, правила, конфиденциальность, выполнял все требования законодательства.       

Мало того, что теперь нужно отдельным документом установить список персональных данных и всех действий с этой информацией, а также указать меры, которые будут предприняты, чтобы данные оставались конфиденциальными. Обработчик обязан обеспечить безопасность обработки данных, сообщать и обо всех утечках заказчику.

Роскомнадзор нужно уведомлять

Серьезно изменился и порядок взаимодействия с Роскомнадзором. Например, согласно ст. 22 ФЗ-152 прежде чем начать сбор и обработку персональных данных, об этом нужно сообщить в Роскомнадзор, заполнив специальную анкету.

Раньше такое требование тоже было, но не во всех случаях. Так Роскомнадзор было необязательно уведомлять, если

  • в сведениях было указано только ФИО;
  • если данные сведения нужны лишь для однократного пропуска, например, на территорию, где располагается оператор;
  • если сведения запрашиваются в связи с трудовым законодательством.

Сейчас тоже есть ситуации, когда Роскомнадзор можно не уведомлять - их всего 2:  

  • если сбор и обработку персональных данных осуществляют государственные информационные системы, которые могут обеспечить высокого уровня защиту и кибербезопасность;
  • если оператор занимается обработкой персональных данных без использования автоматических информационных систем.

Согласие на обработку персональных данных  

Письменное согласие из-за внесения изменений в законодательство претерпело изменения. Раньше этот документ был конкретным, информативным и осознанным. Теперь добавились и другие характеристики – документ, помимо всего прочего, должен быть предметным и однозначным, чтобы не было лазеек для утечки персональных данных.

Новая политика обработки персональных данных  

Оператора по сбору данных обязали фиксировать:

  • категории и список сведений;
  • категории субъектов, чьи сведения принимаются и обрабатываются оператором;
  • способы, сроки обработки и хранения;
  • каким именно образом и по каким правилам планируется уничтожение персональных данных, когда они больше не понадобятся.  

Но, прежде чем начинать вводить все новые требования и правила, сначала нужно провести аудит всей работы с персональными данными и определиться с целью их сбора и использования. В зависимости от цели нужно корректировать и работу в соответствии с изменениями.  

Информацию о политике сбора и обработки персональных данных необходимо опубликовать, например, на сайте оператора - на тех страницах, где производится сбор персональных сведений. При этом ограничения прав тех, чьи сведения собирают, быть не должно.

Биометрика – уникальный код человека

4.jpeg

Статья 11 ФЗ-152 четко определила, что такое биометрические данные – это информация об уникальных физиологических, биологических данных человека, которые четко идентифицируют его как личность. К биометрическим данным относятся отпечатки пальцев, сетчатка глаз, голос и прочее. Эту информацию отныне можно не предоставлять, даже если е настойчиво запрашивает организация. При этом новые изменения в законодательстве запрещают не оказывать услугу по причине отсутствия биометрических данных.               

Наш обзор вступивших в силу изменений законодательства – лишь краткий пересказ основных моментов. Более полной и детальной информацией владеют менеджеры компании «Айтиллект». Экономия времени и полная правовая информированность – плюсы сотрудничества с нами.


Возврат к списку


Заинтересованы в сотрудничестве? Нужна консультация?
Свяжитесь с нами!

Приглашаем к сотрудничеству!

Партнеров
Сотрудничество с нами может стать новым витком в вашем развитии.
Специалистов
Вы классный специалист? Приходите! Мы найдем над чем поработать с Вами.
Стажёров
Уникальная возможность для тех, кто только начинает свой путь.
АйтиллектТМ. Все права защищены 2011- 2020
© 2001-2020 «Битрикс», «1С-Битрикс». Работает на 1С-Битрикс: Управление сайтом.