Как изменился закон о персональных данных с 1 сентября 2022 года
Главная » Статьи » Интернет » Как изменился закон о персональных данных с 1 сентября 2022 годаТеперь работать с персональными данными еще сложнее: почему и что с этим делать
Персональные данные — информация, позволяющая определить личность человека. Любой, кто работает с такими сведениями, должен соблюдать закон №152-Ф3 «О персональных данных», который ужесточил требования к операторам.Изменения назревали давно. Утечки данных происходили все чаще, взять хотя бы громкие случаи с «Яндекс.Едой» и Delivery Club. С 1 сентября 2022 начали работать новые правила, о которых расскажем ниже.
Вставать на учет в РКН придется почти всем
До 1 сентября
В законе было много исключений, когда операторам не требовалось регистрироваться в Роскомнадзоре. Например, когда оформляли одноразовые допуски.
После
Все исключения убрали. Уведомления в РКН разрешается не подавать компаниям и ИП, работающим с ПД:
- без средств автоматизации (например сведения записываются в журнал или в тетрадь и не будут куда-либо передаваться в будущем);
- для защиты безопасности страны или транспортной безопасности.
То есть даже пиццерии или интернет-магазины, собирающие ФИО и адрес клиента, должны оповещать об этом РКН. То же самое касается и работодателя, который заключает трудовой договор или оформляет пропуск работников на территорию компании.
Узнать, зарегистрирована ли ваша компания как оператор ПД, можно в реестре Роскомнадзора, вбив ее ИНН.
Отвечать на запросы нужно быстрее
До 1 сентября
Оператору давали 30 дней, чтобы ответить на запрос Роскомнадзора или владельца персональных данных.
После
Отреагировать надо за 10 дней. Если есть уважительная причина — можно отложить ответ еще на 5 дней. Но в этом случае оператор должен направить уведомление с указанием причины отсрочки ведомству или владельцу ПД.
Больше нельзя запрашивать биометрические данные
До 1 сентября
Особых распоряжений на счет биометрии не было. Сюда входят фото, отпечатки пальцев и другие уникальные биофизические особенности.
После
Запрашивать их могут только государственные органы. От того же фотографирования граждане имеют права отказаться. Компаниям следует убрать из договоров пункт об обязательном предоставлении биометрии.
Нельзя обрабатывать биометрические данные подростков. К примеру, если в штат для практики взяли несовершеннолетнего, нельзя использовать его фотографии в личном деле или для пропуска.
Передачу биометрии за рубеж тоже запретили. Вся биометрическая информация будет храниться на территории России.
Новые требования к поручителям
До 1 сентября
Оператор может поручить работу с данными стороннему обработчику, выдав ему письменное поручение.
После
По новым правилам в нем нужно прописать требования:
- пользоваться российскими базами данных;
- соблюдать закон по обработке ПД;
- сообщать оператору об утечке данных.
В поручении обязательно указать, какие именно сведения поручитель будет обрабатывать.
Передача данных за границу только с разрешения РКН
Прежде чем передать персональные данные за рубеж, оператору нужно уведомить об этом РКН. Надзорный орган решит, можно ли передавать информацию в конкретную страну.
Зарубежные операторы тоже несут ответственность
До 1 сентября
Зарубежные обработчики отвечали только перед оператором ПД.
После
Иностранные компании, которые обрабатывают данные россиян, теперь обязаны соблюдать нормы закона №152. Без разницы, в какой стране они располагаются. Сейчас они в ответе и перед владельцем.
Сразу сообщать об утечках
Оператору дается не больше суток, чтобы передать Роскомнадзору информацию об утечке персональных данных. Сделать это можно на сайте ведомства в разделе Инциденты (утечки ПД), заполнив форму:
В уведомлении перечисляют возможные причины происшествия, предполагаемый вред, меры, которые были приняты чтобы устранить последствия утечки.
В течение трех суток нужно провести внутреннее расследование инцидента и сообщить о результатах через другую форму. Читайте по теме: Я — владелец сайта, как мне не нарушить закон о персональных данных? 5 ошибок интернет-магазинов: как не попасть на штраф при работе с персональными данными