Новости компании ОМЕГА

Обработка персональных данных по новым правилам

Одно из событий сентября 2022 года – это изменения в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных».
Поправки вносит Федеральный закон от 14.07.2022 № 266-ФЗ, некоторые положения которого вступают в силу с 1 сентября 2022 года, а некоторые с марта 2023 года.
Что нового?
1.    Введён принцип экстерриториальности. Это означает, что нормы закона применяются к обработке персональных данных граждан Российской Федерации, осуществляемой иностранными юридическими лицами или иностранными физическими лицами, на основании договоров с российскими гражданами или на основании согласия последних на обработку их персональных данных (далее – ПД).
2.    Уточнены обязанности обработчика ПД. Обработчик должен соблюдать конфиденциальность ПД и принимать меры, которые необходимы для выполнения обязанностей, предусмотренных законом. Теперь в список обязанностей обработчика, которые должны быть предусмотрены его договором с оператором, включаются:
·       при сборе ПД по общему правилу использовать базы данных, находящиеся на территории РФ
·        соблюдать предписания статьи 18.1 ФЗ - №152
·       предоставлять по запросу оператора документы и информацию, подтверждающие принятие мер и соблюдение требований закона
·       уведомлять оператора о фактах неправомерной или случайной передачи (предоставления, распространения, доступа) ПД, повлекшей нарушение прав субъектов ПД

3.    Срок предоставления сведений изменился. Теперь Оператор должен будет отреагировать на запрос субъекта ПД о предоставлении сведений по ч. 7 ст. 14 152-ФЗ в течение 10 рабочих дней, вместо 30.
4.    Взаимодействие с ГосСОПКА. Оператор обязан взаимодействовать с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), а именно, информировать о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПД. Поступившая от оператора информация передается органами ФСБ в Роскомнадзор в согласованном ими порядке.
5.    Изменения в уведомлении Роскомнадзора о начале обработки ПД. Операторы должны уведомлять Роскомнадзор о начале или осуществлении любой обработки персональных данных за исключением случаев, когда данные обрабатываются в целях защиты безопасности государства и общественного порядка, транспортной безопасности, или если оператор обрабатывает данные исключительно без средств автоматизации. Формы уведомлений будут утверждены приказом Роскомнадзора. До этого оператор может заполнить форму уведомления об обработке персональных данных на Портале персональных данных Роскомнадзора или направить такое уведомление в адрес территориального управления ведомства по месту регистрации оператора на бумажном носителе.