Недавние события с массовой утечкой персональных данных пользователей у крупных операторов, казалось, не должны были остаться без внимания.
Многие (в том числе мы) предполагали, что одними из первых шагов должен был стать пересмотр норм Кодекса об административных правонарушениях в части ответственности за утечки ПДн такого масштаба.
Однако этого не случилось. Ближайшими изменениями, которые вступят в силу буквально в ближайшие дни, будут отнюдь не карательные меры за серьезные нарушения в правилах обработке персональных данных.
Что же приготовил нам Роскомнадзор?
Главных изменений два
существенно сокращен перечень случаев, когда персональные данные можно обрабатывать без уведомления Роскомнадзора, то есть без внесения оператора в специальный реестр.
Наиболее распространенные случаи, в которых раньше можно было обойтись без уведомления регулятора, а с 01 сентября 2022 года будет нельзя:
если персональные данные обрабатываются в соответствии с трудовым законодательством (т.е. данные работников и членов их семьи)
полученные от лица, заключившего с оператором договор (например, заказчика), если эти данные не распространяются третьим лицам и используются только для исполнения этого договора
если персональные данные включали в себя только ФИО субъекта данных
если данные собирались для однократного пропуска на территорию оператора персональных данных
действие закона “О персональных данных” теперь распространяется на иностранных юридических лиц, осуществляющих обработку данных граждан РФ с их согласия и/или по договору (кстати, про случаи несанкционированного использования ничего не указано…)
Кроме того, с 01 сентября 2022 о начале обработке персональных данных необходимо будет до начала такой обработки, и никак иначе.
Еще несколько важных изменений, которые коснутся операторов:
вводятся в действие новые формы уведомления о начале обработки персональных данных, а также об изменениях в процессе обработки у оператора (например, если добавились новые информационные системы обработки ПДн)
введены новые требования к форме согласия субъекта на обработку его данных: теперь оно, помимо прочих требований, должно быть “предметным” и “однозначным”.
определено, где именно должен публиковать оператор документы об обработке персональных данных: “в том числе на страницах принадлежащего оператору сайта в интернете, с использованием которых осуществляется сбор ПД”
сокращены сроки ответа оператора персональных данных на запросы Роскомнадзора и субъекта персональных данных с 30 календарных до 10 рабочих дней
С текстом федерального закона можно ознакомиться по ссылке.
А вы готовы к новым изменениям?
Для настройки форм, перейдите в режим правки и кликните на "Изменить область"