1 сентября 2022 года вступят в силу поправки к Федеральному закону от 27 июля 2006 года № 152-ФЗ "О персональных данных", направленные на улучшение защиты персональных данных граждан от несанкционированного доступа неуполномоченного лица, а также усилить государственный контроль в этой сфере (Федеральный закон от 14 июля 2022 года № 266-ФЗ "О внесении изменений в Федеральный закон "О персональных данных", отдельные законодательные акты Российской Федерации и признании утратившей силу статьи 30 части 14 Федерального закона "О банкротстве").
Одно из основных изменений заключается в том, что уведомление Роскомнадзора об обработке персональных данных (далее - ПД) теперь необходимо будет предоставлять практически во всех случаях обработки ПД. С 1 сентября 2022 года список случаев, в которых обработка возможна без такого уведомления, будет значительно сокращен.
В частности, теперь персональные данные могут обрабатываться без уведомления, если они:
- Обработаны в соответствии с трудовым законодательством;
- Полученны оператором в связи с заключением договора, стороной которого является субъект персональных данных, притом что эти сведения не распространяются, не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
- Включают в себя только фамилии, имена и отчества физических лиц;
- Необходимы для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
- И в некоторых иных случаях, перечень которых приведен в ч. 2 ст. 22 Закона о персональных данных.
С 1 сентября 2022 года обработка персональных данных в указанных случаях потребует уведомления Роскомнадзора до начала обработки персональных данных оператором (о том, как подать уведомление, см. письмо Роскомнадзора № 08-75348 от 19 августа 2022 года).
Исключения будут включать случаи, когда оператор обрабатывает персональные данные исключительно без использования средств автоматизации.
Кроме того, поправки делают обязательными формы уведомления о начале и окончании обработки персональных данных, а также об изменении ранее представленной информации, определяемые Роскомнадзором (см. проект постановления ведомства). Как указано в вышеупомянутом письме Агентства, после публикации приказа об утверждении новых форм оператор данных может направить письмо в Роскомнадзор для внесения изменений в данные о себе в реестре.
С 1 сентября также уточняется, что оператор, собирающий персональные данные через эти сети, должен опубликовать в соответствующей информационно-телекоммуникационной сети документ, описывающий его политику обработки персональных данных и информацию о внедренных требованиях по защите персональных данных. Согласно поправкам, они должны быть опубликованы "в том числе на страницах сайта оператора, осуществляющего сбор персональных данных".
Положения об обработке биометрических персональных данных были уточнены. Установлено, что предоставление биометрических персональных данных не может быть обязательным, за исключением некоторых случаев, прямо указанных в Федеральном законе № 152-ФЗ. Кроме того, вводится прямой запрет для операторов отказывать гражданам в предоставлении услуг, если субъект данных отказывается предоставить биометрические персональные данные и/или дать согласие на обработку персональных данных, если это положение не является обязательным.
Предусмотрен ряд других изменений.
Чтобы разобраться в них всех, рекомендуем записаться на наш вебинар посвященный этой теме