Обзор изменений закона о персональных данных на 1 сентября 2022 года
Требования закона о персональных данных с 1 сентября изменятся. Рассказываем, как будем работать с начала осени и что нужно сделать уже сейчас.
Коротко об изменениях
Поправки понадобились, чтобы улучшить защиту персданных граждан и обеспечить конституционное право на неприкосновенность частной жизни. Изменения внесли в работу операторов. Среди прочего:
- ввели обязанность незамедлительно информировать органы власти об инцидентах с принадлежащими им базами персональных данных (см. пункт 3.1 статьи 21), а также обязали обеспечивать непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы страны (см. пункты 12, 13, 14 статьи 19);
- сократили сроки исполнения запросов органов власти и граждан по вопросам, связанным с незаконной обработкой персданных с 30 до 10 дней (пункты 2, 4 статьи 20);
- установили запрет на отказ гражданам в оказании услуг при отказе граждан предоставить информацию о себе (если такое предоставление не является обязательным (см. пункт 3 статьи 11));
- возложили обязанность прекратить обработку персданных по требованию их владельца в 10-дневный срок (см. пункт 5.1 статьи 21);
- ввели ограничения на обработку биометрических персональных данных несовершеннолетних (см. пункт 3.1 статьи 4) и пр.
Это не говоря уже про изменения в Федеральный закон от 13.07.2015 № 218-ФЗ «О государственной регистрации недвижимости», согласно которым персданные, содержащиеся в ЕГРН, могут быть предоставлены третьим лицам только с согласия физического лица субъекта этих данных. Всего с 01.09.2022 в силу вступят 34 поправки, некоторые из которых носят уточняющий характер, а некоторые добавят работы кадровым службам.
Будет полезно:
- категории персональных данных;
- образец положения о персональных данных работников;
- как оформить согласие на обработку персданных;
- заявление об изменении персональных данных;
- заявление на отказ от обработки персданных;
- ответственность за нарушения в области персональных данных;
- как получить компенсацию за утечку персданных.
Новая обязанность согласовывать документы с РКН
Государственные органы и органы местного самоуправления, в случае, если они будут в пределах своих полномочий принимать нормативные правовые акты по отдельным вопросам, касающимся обработки персданных (а такая возможность им предоставлена в силу положений пункта 2 статьи 4 закона 152-ФЗ), теперь будут обязаны согласовывать их с РКН, если указанные нормативные правовые акты будут регулировать отношения, связанные с осуществлением таких действий с персданными:
- трансграничная передача;
- обработка специальных категорий;
- работа с биометрией;
- работа с персданными несовершеннолетних;
- предоставление, распространение персданных, полученных в результате обезличивания.
В принципе, в процессе согласования ничего плохого нет, это просто усложнит работу на местах в плане скорости, но, по идее, должно повысить качество принимаемых решений.
Новые требования к документам по персданным
Согласие на обработку теперь должно быть конкретным, предметным, информированным, сознательным и однозначным. В предыдущей редакции текст был проще — согласие на обработку персональных данных должно было быть конкретным, информированным и сознательным.
Почему и зачем законодатель добавил однозначность в новый текст редакции закона — непонятно, но можно предположить, что при проведении проверок инспекторы будут оценивать документы не только на предмет конкретности, но теперь и на предмет однозначности данного согласия, в связи с чем, очевидно, придется прописывать в согласии все возможные (для работы, разумеется) варианты их обработки, а также быть готовыми отвечать на конкретные вопросы однозначными пояснениями.
Эти изменения не касаются положений статьи 10.1 закона 152-ФЗ, согласие на обработку персональных данных, разрешенных субъектом для распространения (напомним, что содержание согласия регламентируется Приказом Роскомнадзора от 24.02.2021 № 18), остается прежним.
Новые требования к уведомлениям в Роскомнадзор
К сожалению, законодатель решил, что случаи, когда обработку персональных данных можно осуществлять без уведомления РКН, следует сократить, что он и сделал.
В результате с 01.09.2022 работодателям придется уведомлять РКН о работе с персональными данными работников и других граждан.
В принципе, ничего смертельного, отправили уведомление и работайте себе дальше как раньше, с учетом новых правок. Можно уведомить через сайт РКН.
К тому же некоторые работодатели уведомляли РКН и раньше, нарушения в этом не было. Однако тут есть нюанс, о котором мы скажем ниже.
Эксперты КонсультантПлюс разобрали, как уведомить РКН об обработке персональных данных. Используйте эти инструкции бесплатно.
Что ждать в ближайшем будущем
Поскольку федеральный закон от 14.07.2022 № 266-ФЗ внес некоторые изменения в плане исключения и добавления некоторых сведений в уведомление об обработке персональных данных (в частности, см. подпункт 3 пункта 3 статьи 22), а также в связи с тем, что в новой редакции закона 152-ФЗ появился новый пункт (см. пункт 8 статьи 22), редакция полагает, что форма уведомления, утвержденная Приказом Роскомнадзора от 30.05.2017 № 94 претерпит изменения в самом ближайшем будущем. О чем сообщим вам дополнительно.
Нормативная база
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
