Гарант-РостСервис
8 800 201 23 71

С 1 сентября — важные изменения в законодательстве о персональных данных

Федеральный закон от 14 июля 2022 г. N 266-ФЗ

1 сентября 2022 года вступят в силу июльские поправки в Закон о персональных данных, направленные на повышение защищенности персональных данных граждан от несанкционированного доступа неограниченного круга лиц, а также на усиление государственного контроля в указанной сфере.

Одно из главных изменений — уведомление в Роскомнадзор об обработке персональных данных (далее также ПД) теперь надо будет подавать практически во всех случаях обработки ПД. Перечень случаев, когда обработка возможна без такого уведомления, с 01.09.2022 существенно сократится.

В частности, сейчас без уведомления допускается осуществлять обработку персональных данных:

— обрабатываемых в соответствии с трудовым законодательством;

— полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, притом что эти сведения не распространяются, не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

— включающих в себя только фамилии, имена и отчества физических лиц;

— необходимых для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

— и в некоторых иных случаях, перечень которых приведен в ч. 2 ст. 22 Закона о персональных данных.

С 1 сентября 2022 г. при обработке персональных данных в перечисленных случаях нужно будет сообщать в Роскомнадзор до начала обработки оператором персональных данных (о том, как направить уведомление, см. письмо Роскомнадзора от 19.08.2022 N 08-75348).

В числе исключений останутся, например, случаи, когда оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации.

Кроме того, поправками закреплена обязательность форм уведомлений о начале и прекращении обработки ПД, а также об изменении ранее представленных сведений, которые устанавливаются Роскомнадзором (см. проект соответствующего приказа ведомства). Как отмечается в вышеупомянутом письме ведомства, после издания приказа об утверждении новых форм оператор ПД вправе направить в Роскомнадзор письмо для внесения изменений в сведения об операторе ПД в Реестре.

Помимо этого, поправками:

— установлена обязанность операторов персональных данных обеспечивать взаимодействие с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА), включая информирование о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПД;

— введены дополнительные обязанности оператора по устранению нарушений законодательства, допущенных при обработке ПД, по уточнению, блокированию и уничтожению ПД;

— скорректированы требования к согласию на обработку ПД (ранее от такого согласия требовалось быть конкретным, информированным и сознательным. Теперь оно должно быть еще и предметным, а также однозначным);

— уточнены требования к содержанию документов, определяющих политику оператора в отношении обработки ПД, локальных актов по вопросам обработки ПД.

Также с 1 сентября конкретизировано, где именно в соответствующей информационно-телекоммуникационной сети оператор, осуществляющий сбор ПД с использованием таких сетей, обязан опубликовать документ, определяющий его политику в отношении обработки ПД, и сведения о реализуемых требованиях к защите ПД. Согласно поправкам, опубликовать их необходимо «в том числе на страницах принадлежащего оператору сайта в интернете, с использованием которых осуществляется сбор ПД».

Уточнены положения, касающиеся обработки биометрических персональных данных. Установлено, что предоставление биометрических персональных данных не может быть обязательным, за исключением ряда случаев, указанных напрямую в Федеральном законе N 152-ФЗ. Кроме того, установлен прямой запрет операторам на отказ гражданам в обслуживании при отказе субъекта персональных данных предоставить биометрические персональные данные и (или) дать согласие на обработку персональных данных, если такое предоставление не является обязательным.

Предусмотрен целый ряд иных изменений.


ЗАКАЗАТЬ ЭТОТ ДОКУМЕНТ КУПИТЬ ГАРАНТ ПОДЕЛИТЬСЯ


Программы повышения квалификации






Оставьте заявку!

Наши менеджеры свяжутся с Вами в ближайшее время.

    *Нажимая кнопку Оставить заявку вы принимаете пользовательское соглашение