
Новый закон о персональных данных
Предъявляемые к области защиты персональных данных требования претерпели ряд изменений. Корректировки имеют отношение к операторам данных и самим гражданам. Срок вступления в силу - 01.09.2022г.
Запрещено включать в договора некоторые условия
Цифровые платформы в обязательном порядке, как и ранее, заключают с клиентами договоры. В обновленном законопроекте изменились условия их подписания:
нововведения затронули процесс обработки данных лиц, не достигших 18-ти лет. Согласиться с правилами сайта теперь недостаточно для человека, не достигшего совершеннолетия. Серверам придется проработать этот пункт.
Изменяется сам порядок обработки персональных данных. Платформы теперь должны предлагать несколько вариантов форм с согласием на обработку этих сведений. Пользователь выбирает в зависимости от своего возраста нужный бланк и заполняет его.
Бездействие субъекта в случае заключения договора не является условием ограничения его прав и свобод. Серверам важно учитывать этот момент.
Процедура получения от физлица согласия обработки ПД
Нововведения в закон отразили все важные особенности оформления согласия гражданина на обработку его личных данных, об этих нюансах неоднократно говорил Роскомнадзор в своих комментариях и выступлениях. Теперь форма согласия отвечает всем перечисленным ниже критериям:
конкретность;
информативность;
сознательность;
предметность;
однозначность.
Ранее пользователь не мог получить услугу и причинами отказа назывались следующие моменты:
отсутствие предоставленных биометрических данных;
несогласие пользователя на обработку ПД.
Обработчик персональных данных обязан четко исполнять следующее:
соблюдать все положения законодательства о защите персональных данных;
своевременно предоставлять оператору сведения о пользователе на основании полученного запроса;
обо всех пользовательских нарушениях информировать Роскомнадзор.
Проведение обработки данных в отношении иностранного гражданина сопряжено с тем, что ответственность ложится на обе стороны заключения договора: самого иностранного гражданина и обработчика.
Сроки ответа на запросы
Субъект данных и Роскомнадзор могут обратиться к оператору с какими-либо запросами. Ранее оператор предоставлял ответ в течение 30-ти календарных дней.
В настоящее время сроки сокращены до 10-ти календарных дней. Если уведомление мотивированное, то срок продления для ответа - дополнительно до 5-ти рабочих дней.
Субъект наделен правом требования у оператора прекращения процедуры обработки его данных. Оператор вправе отказать, если данная обработка проводится на законном основании и проверяемое лицо относится к определенной категории граждан.
Обязанности со стороны компании
Перед тем, как требовать со стороны пользователя предоставлять свои данные, компания должна раскрыть информацию о своей деятельности. В частности, открывается конфиденциальная информация относительно мер для защиты данных пользователей. Пользователю должны предоставить данные:
правовые;
организационные;
технические.
Владельцы компаний не стремятся делать подобную информацию публичной, но теперь у них нет другого выхода. В противном случае им грозит административное взыскание в сумме до 80 тыс. руб.
Перечень требований к политике об обработке ПД
Разрабатываемая компанией политика должна содержать ряд обязательных реквизитов:
категория, к которой относятся данные для обработки;
перечень сведений личного характера;
категория субъекта;
способы информационной аналитики;
сроки обработки;
условия хранения и его длительность.
Нововведения коснулись не только требований к самой политике обработки ПД, но и к публикации этих данных. Если информация мониторится в интернете, то на сайте сообщают об этом.
Серверы обязаны информировать Роскомнадзор о проверке данных. Раньше это делали достаточно редко из-за множества исключений. Теперь исключений стало значительно меньше, а сообщать о проверках придется чаще.
Утечка данных
У операторов появились новые обязанности – сообщать в некоторые структуры об утечке данных. Речь идет о таких структурах:
ГОССОПКА;
Роскомнадзор.
В противном случае оператор заплатит штраф, который может достигать 500 тысяч рублей. Также установлено время, в течение которого необходимо сообщить о проблеме:
24 часа дают на то, чтобы предоставить данные в Роскомнадзор о передаче личных сведений (случайно или целенаправленной);
72 часа выделяют для того, чтобы оператор отчитался перед сотрудниками Роскомнадзора о внутреннем расследовании по делу.
Взаимосвязь между операторами и ГОССОПКА контролируют представители ФСБ.
Будущие нововведения
С начала марта 2023г. трансграничная передача персональных данных будет также регламентирована законодательством РФ. Операторы будут обязаны передавать соответствующие сведения Роскомнадзору. Сейчас, пока изменения не вступили в силу, компании - обработчики подобной информации, должны заявить о себе ведомству.
Если у вас возникли вопросы, наши юристы готовы быстро и в режиме онлайн проконсультировать вас. Переходите на наш сайт и оставляйте заявку!