С сентября 2022 года в силу вступает новый Федеральный закон о персональных данных. Согласно внесенным изменениям в 152-ФЗ, меняются требования к получению согласия на обработку персональной информации. Также, новый закон о персональных данных 2022 года предусматривает изменение порядка начисления штрафов за нарушения и внесение поправок в сопутствующие положения.
Немного вводной информации
Учитывая, что в законе 266-ФЗ о персональных данных от 14 июля 2022 нет четкого определения относительно того, какую информацию считать персональной, но, согласно общим формулировкам, под этот термин подпадают:
- фамилия, имя, отчество;
- дата и место рождения;
- контактные данные (номер мобильного телефона, адрес email, аккаунт в мессенджерах и социальных сетях);
- адрес (как по регистрации, так и фактический);
- фотография (независимо от ее формата).
Если обобщить, то под действие закона о защите персональных данных 2022 подпадает любая информация, использование которой помогает в идентификации человека. По факту, владелец практически любого сайта (поставщик товаров или услуг), где есть формы обратной связи с клиентом, выступает оператором, действия которого подпадают под ФЗ о персональных данных 2022.
Теперь даже небольшому интернет-магазину недостаточно просто разместить форму на сайте с галочкой на пользовательское соглашение, а необходимо уведомлять Роскомнадзор и иметь в наличии локальные документы о защите персональных данных.
После подачи соответствующих документов ведомство включает заявителя в реестр операторов персональных данных и в график плановых проверок соблюдения организационных и технических требований к защите личной информации.
Что меняется с сентября 2022 года
Изменение в федеральном законе о персональных данных 2022 коснулись расширения перечня передаваемой информации о работе с личной информацией в контролирующие органы.
С первого дня осени придется передавать информацию:
- о сотрудниках (учитываются нормы трудового законодательства);
- при оформлении одноразового пропуска при входе на территорию предприятия;
- при оформлении договоров любого содержания.
Дополнительно, все операторы, работающие с персональными данными, должны активно сотрудничать с системой по предупреждению кибермошенничества. Согласно изменениям в 152-ФЗ о персональных данных 2022, нужно оперативно сообщать о происшествиях, в результате которых произошла утечка личной информации, независимо от объема.
Также, стоит учесть, что по закону о сборе персональных данных 2022 сокращается срок, в течение которого оператор должен ответить за запрос контролирующих органов касаемо лично информации клиентов. Начиная с осени он сокращается до 10 дней (на данный момент – 30 дней).
Теперь подытожим, что именно меняется с 1.09. 2022:
- Подача уведомлений об обработке персональной информации в Роскомнадзор (практически все исключения из предыдущей редакции утратили силу). После передачи данных в единый реестр ведомство сможет контролировать соблюдение требований по защите персональных данных.
- Ограничения на трансграничную передачу личной информации. Вопросы могут возникнуть к тем, кто при передаче данных использует зарубежные хостинги или программы/виджеты зарубежных вендоров.
- Равная ответственность за безопасность данных ложится на оператора и процессора (лицо, работающее по поручению). Согласно закону, поставщикам облачных сервисов и SaaS (PaaS) решений необходимо детально описывать в договоре с процессором требования к обработке персональной информации.
- Политика конфиденциальности должна публиковаться на страницах сбора данных.
Важный момент: согласно ФЗ об обработке персональных данных 2022, покупатель имеет право получить сведения относительно особенностей использования его личной информации. Если говорить об устном запросе, то ответ на него должен быть получен незамедлительно. В отношении письменного обращения (письмо на email или другие форматы), оператору дается 7 дней на подробное разъяснение.
