
Новый закон о персональных данных
Требования к обработке персональных данных были пересмотрены. Изменения касаются граждан и операторов данных. Вступили в силу с 1 сентября 2022 года.
Запрет на включение в договор некоторых условий
Цифровые платформы в обязательном порядке, как и ранее, заключают с клиентами договоры. В обновленном законопроекте изменились условия подписания договоров:
Нововведения затронули процесс обработки данных несовершеннолетних. Согласиться с правилами сайта теперь недостаточно для человека, не достигшего 18-летия. Серверам придется проработать этот пункт.
Изменяется обработка персональных данных. На платформах должны предложить несколько бланков согласия на обработку данных. Пользователь выбирает в зависимости от своего возраста нужный бланк и заполняет его.
Бездействие субъекта в случае заключения договора не должно ограничивать его право и свободу. Серверам важно учитывать этот момент.
Согласие на обработку данных
Роскомнадзор неоднократно обращал внимание на процедуру согласия на обработку персональных данных. В новом законопроекте отразили все просьбы. Форма согласия должна соответствовать таким критериям:
Конкретность
Информативность
Сознательность
Предметность
Однозначность
Ранее пользователю отказывали в пользовании услугой по нескольким причинам:
Человек не предоставил биометрические данные
Пользователь не дал согласие на обработку персональных данных
Четко прописаны требования и обязанности к обработчику данных:
Выполнять пункты Закона о персональных данных.
По требованию оператора предоставлять необходимую информацию о пользователе в указанный срок.
В случае нарушений со стороны пользователя информировать об этом Роскомнадзор.
Если обработку данных проводят для иностранного гражданина, то ответственность ложиться на обе стороны заключения договора: самого иностранного гражданина и обработчика.
Сроки ответа на запросы
Субъект данных и Роскомнадзор могут обратиться к оператору с какими-либо запросами. Ранее оператор предоставлял ответ в течение 30 календарных дней.
В настоящее время сроки уменьшились. Ответ должны сформулировать в течение 10 календарных дней. Если уведомление мотивированное, то срок продлевается ответа до 5 рабочих дней.
Субъект данных вправе потребовать прекратить обработку данных. С момента, когда оператор получил запрос на прекращение проверки, должно пройти не более 10 дней. Оператор имеет право отказать в проверки данных, если она проводится на законном основании и проверка проводится относительно определенной категории граждан.
Обязанности со стороны компании
Перед тем, как требовать со стороны пользователя предоставлять свои данные, компания должна раскрыть информацию о своей деятельности. В частности, открывается конфиденциальная информация относительно мер для защиты данных пользователей. Пользователю должны предоставить данные:
Правовые
Организационные
Технические
Владельцы компаний не стремятся делать подобную информацию публичной, но теперь у них нет другого выхода. В противном случае на них наложат штраф в размере 80 тысяч рублей.
Требования к политике обработки данных
Политика обработки данных должна содержать:
Категорию персональных данных
Перечень личных данных
Категории субъектов
Способы анализа данных
Сроки обработки
Условия и срок хранения
Каждый из указанных пунктов указывается отдельно в уведомлении для каждого пункта.
Нововведения коснулись не только требований к политике обработки, но и к публикации этих данных. Если информация мониторится в интернете, то на сайте сообщают об этом.
Серверы обязаны информировать Роскомнадзор о проверки данных. Раньше это делали достаточно редко из-за множества исключений. Теперь исключений стало значительно меньше, а сообщать о проверках приходится чаще.
Утечка данных
У операторов появились новые обязанности – сообщать в некоторые структуры об утечке данных. Речь идет о таких структурах:
ГОССОПКА
Роскомнадзор
В противном случае оператор заплатит штраф, который может достигать 500 тысяч рублей. Также установлено время, в течение которого необходимо сообщить о проблеме:
24 часа дают на то, чтобы предоставить данные в Роскомнадзор о передаче личных сведений (случайно или целенаправленной)
72 часа выделяют для того, чтобы оператор отчитался перед сотрудниками Роскомнадзора о внутреннем расследовании по делу
Взаимосвязь между операторами и ГОССОПКА контролируют представители ФСБ.
Будущие нововведения
С 1 марта 2023 года в силу вступят изменения в части трансграничной передачи данных, согласно которым оператор обязан уведомлять о процедуре Роскомнадзор. До 1 марта компании, которые работают с трансграничной передачей данных, должны проинформировать об этом Роскомнадзор.
Если у вас возникли вопросы, наши юристы готовы быстро и в режиме онлайн проконсультировать вас. Переходите на наш сайт и оставляйте заявку!