Новый закон о персональных данных

Предъявляемые к области защиты персональных данных требования претерпели ряд изменений. Корректировки имеют отношение к операторам данных и самим гражданам. Срок вступления в силу - 01.09.2022г.

Запрещено включать в договора некоторые условия

Цифровые платформы в обязательном порядке, как и ранее, заключают с клиентами договоры. В обновленном законопроекте изменились условия их подписания:

• нововведения затронули процесс обработки данных лиц, не достигших 18-ти лет. Согласиться с правилами сайта теперь недостаточно для человека, не достигшего совершеннолетия. Серверам придется проработать этот пункт.

• Изменяется сам порядок обработки персональных данных. Платформы теперь должны предлагать несколько вариантов форм с согласием на обработку этих сведений. Пользователь выбирает в зависимости от своего возраста нужный бланк и заполняет его.

Бездействие субъекта в случае заключения договора не является условием ограничения его прав и свобод. Серверам важно учитывать этот момент.

Процедура получения от физлица согласия обработки ПД

Нововведения в закон отразили все важные особенности оформления согласия гражданина на обработку его личных данных, об этих нюансах неоднократно говорил Роскомнадзор в своих комментариях и выступлениях. Теперь форма согласия отвечает всем перечисленным ниже критериям:

• конкретность;

• информативность;

• сознательность;

• предметность;

• однозначность.

Ранее пользователь не мог получить услугу и причинами отказа назывались следующие моменты:

1. отсутствие предоставленных биометрических данных;

2. несогласие пользователя на обработку ПД.

Обработчик персональных данных обязан четко исполнять следующее:

• соблюдать все положения законодательства о защите персональных данных;

• своевременно предоставлять оператору сведения о пользователе на основании полученного запроса;

• обо всех пользовательских нарушениях информировать Роскомнадзор.

Проведение обработки данных в отношении иностранного гражданина сопряжено с тем, что ответственность ложится на обе стороны заключения договора: самого иностранного гражданина и обработчика.

Сроки ответа на запросы

Субъект данных и Роскомнадзор могут обратиться к оператору с какими-либо запросами. Ранее оператор предоставлял ответ в течение 30-ти календарных дней.

В настоящее время сроки сокращены до 10-ти календарных дней. Если уведомление мотивированное, то срок продления для ответа - дополнительно до 5-ти рабочих дней.

Субъект наделен правом требования у оператора прекращения процедуры обработки его данных. Оператор вправе отказать, если данная обработка проводится на законном основании и проверяемое лицо относится к определенной категории граждан.

Обязанности со стороны компании

Перед тем, как требовать со стороны пользователя предоставлять свои данные, компания должна раскрыть информацию о своей деятельности. В частности, открывается конфиденциальная информация относительно мер для защиты данных пользователей. Пользователю должны предоставить данные:

• правовые;

• организационные;

• технические.

Владельцы компаний не стремятся делать подобную информацию публичной, но теперь у них нет другого выхода. В противном случае им грозит административное взыскание в сумме до 80 тыс. руб.

Перечень требований к политике об обработке ПД

Разрабатываемая компанией политика должна содержать ряд обязательных реквизитов:

1. категория, к которой относятся данные для обработки;

2. перечень сведений личного характера;

3. категория субъекта;

4. способы информационной аналитики;

5. сроки обработки;

6. условия хранения и его длительность.

Нововведения коснулись не только требований к самой политике обработки ПД, но и к публикации этих данных. Если информация мониторится в интернете, то на сайте сообщают об этом.

Серверы обязаны информировать Роскомнадзор о проверке данных. Раньше это делали достаточно редко из-за множества исключений. Теперь исключений стало значительно меньше, а сообщать о проверках придется чаще.

Утечка данных

У операторов появились новые обязанности – сообщать в некоторые структуры об утечке данных. Речь идет о таких структурах:

• ГОССОПКА;

• Роскомнадзор.

В противном случае оператор заплатит штраф, который может достигать 500 тысяч рублей. Также установлено время, в течение которого необходимо сообщить о проблеме:

• 24 часа дают на то, чтобы предоставить данные в Роскомнадзор о передаче личных сведений (случайно или целенаправленной);

• 72 часа выделяют для того, чтобы оператор отчитался перед сотрудниками Роскомнадзора о внутреннем расследовании по делу.

Взаимосвязь между операторами и ГОССОПКА контролируют представители ФСБ.

Будущие нововведения

С начала марта 2023г. трансграничная передача персональных данных будет также регламентирована законодательством РФ. Операторы будут обязаны передавать соответствующие сведения Роскомнадзору. Сейчас, пока изменения не вступили в силу, компании - обработчики подобной информации, должны заявить о себе ведомству.

Если у вас возникли вопросы, наши юристы готовы быстро и в режиме онлайн проконсультировать вас. Переходите на наш сайт и оставляйте заявку!