Консалтинг
Обработка персональных данных: основные изменения с 1 сентября 2022 года
Федеральный закон от 14.07.2022 № 266-ФЗ внес в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» не слишком масштабные по объему, но существенные изменения, которые вступают в силу с 1 сентября 2022 года.
Уведомление Роскомнадзора
Теперь уведомлять Роскомнадзор о том, что обрабатывают персональные данные, обязаны и те организации, которые обрабатывают персональные данные своих работников и / или клиентов, персональные данные только в виде фамилии, имени отчества, персональные данные только для однократного пропуска на территорию и т.п.
Исключения составляют случаи, когда организация не осуществляет автоматизированную обработку персональных данных. Однако использование бухгалтерской программы, формирующей отчеты, в которых указаны ФИО работников – это уже автоматизированная обработка.
Также не требуется уведомление, если ведется обработка персональных данных, включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка, и персональных данных, обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Форма уведомления утверждена Приказом Роскомнадзора от 30.05.2017 № 94.
Однако необходимо учитывать, что с 1 сентября меняется перечень сведений, которые должны быть указаны в таком уведомлении, и новая форма пока не утверждена.
Каких-либо иных дополнительных обязанностей подача уведомления у организации не порождает.
За непредставление такого уведомления организация возможно привлечение к ответственности на основании части 1 статьи 19.7 КоАП РФ в виде предупреждения или наложения административного штрафа на граждан в размере от ста до трехсот рублей; на должностных лиц - от трехсот до пятисот рублей; на юридических лиц - от трех тысяч до пяти тысяч рублей.
Локальные акты об обработки персональных данных
В локальных актах об обработке персональных данных, регламентирующих как обработку персональных данных клиентов, так и персональных данных работников, а также иных персональных данных теперь обязательно указывать:
При этом если персональные данные физлиц собираются через сайт, необходимо обеспечить, чтобы документ о политике обработки данных и сведения о реализуемых требованиях к их защите были опубликованы в том числе на страницах сайта, где непосредственно идет сбор персональных данных (например, на страницах с формами, которые заполняют пользователи).
Уведомление Роскомнадзора
Теперь уведомлять Роскомнадзор о том, что обрабатывают персональные данные, обязаны и те организации, которые обрабатывают персональные данные своих работников и / или клиентов, персональные данные только в виде фамилии, имени отчества, персональные данные только для однократного пропуска на территорию и т.п.
Исключения составляют случаи, когда организация не осуществляет автоматизированную обработку персональных данных. Однако использование бухгалтерской программы, формирующей отчеты, в которых указаны ФИО работников – это уже автоматизированная обработка.
Также не требуется уведомление, если ведется обработка персональных данных, включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка, и персональных данных, обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Форма уведомления утверждена Приказом Роскомнадзора от 30.05.2017 № 94.
Однако необходимо учитывать, что с 1 сентября меняется перечень сведений, которые должны быть указаны в таком уведомлении, и новая форма пока не утверждена.
Каких-либо иных дополнительных обязанностей подача уведомления у организации не порождает.
За непредставление такого уведомления организация возможно привлечение к ответственности на основании части 1 статьи 19.7 КоАП РФ в виде предупреждения или наложения административного штрафа на граждан в размере от ста до трехсот рублей; на должностных лиц - от трехсот до пятисот рублей; на юридических лиц - от трех тысяч до пяти тысяч рублей.
Локальные акты об обработки персональных данных
В локальных актах об обработке персональных данных, регламентирующих как обработку персональных данных клиентов, так и персональных данных работников, а также иных персональных данных теперь обязательно указывать:
- категории и перечни обрабатываемых данных;
- категории субъектов данных;
- способы и сроки обработки, хранения данных;
- порядок их уничтожения.
При этом если персональные данные физлиц собираются через сайт, необходимо обеспечить, чтобы документ о политике обработки данных и сведения о реализуемых требованиях к их защите были опубликованы в том числе на страницах сайта, где непосредственно идет сбор персональных данных (например, на страницах с формами, которые заполняют пользователи).