• Кейсы и публикации
  • О компании
  • Контакты
Что вы ищете
    Персональные данные: Какие изменения учесть компаниям с 1 сентября
    Право 30 августа 2022

    Персональные данные: Какие изменения учесть компаниям с 1 сентября

    Изменения коснулись широкого круга вопросов. Среди них: когда нужно уведомить о намерении обрабатывать персональные данные; что включать в локальные акты и как их правильно размещать на сайте компании; что делать, если произошла утечка данных.

     

    Сроки предоставления информации Роскомнадзору

    Срок ответа ведомству сократили с 30 календарных до 10 рабочих дней. Он может быть увеличен в пределах 5 рабочих дней на основании мотивированного уведомления.

     

    Уведомление об обработке персональных данных

    1. Из Закона о персональных данных исключают большинство случаев, когда компаниям не нужно было уведомлять Роскомнадзор о намерении начать обрабатывать персональные данные.

    Таким образом, следует проинформировать ведомство, если компания собирается обрабатывать, в частности, персональные данные (ссылки ведут на утрачивающие силу нормы о случаях, когда уведомление не требовалось):

    - своих работников;

    - клиентов (когда данные о них нужны исключительно для заключения и исполнения договоров);

    - физлиц, которые разрешили их распространять;

    - физлиц - только в части Ф.И.О.;

    - физлиц - для однократного пропуска на территорию или в аналогичных целях.

    Если для обработки персональных данных не используют средства автоматизации, уведомлять ведомство не нужно. Например, данные о посетителях организации записывают в бумажный журнал при выдаче им разовых пропусков.

    2. Скорректировали требования к содержанию уведомления. Если данные будут обрабатывать в разных целях, то для каждой из них понадобится указать:

    - категорию данных и их субъектов;

    - правовое основание обработки;

    - перечень действий с данными и способы их обработки.

    Если у физлиц или юрлиц есть доступ к персональным данным в государственных (муниципальных) информационных системах или они обрабатывают данные из этих систем по договору, Ф.И.О. таких физлиц (наименование юрлиц) нужно привести в уведомлении.

    3. В законе закрепили положение о том, что формы уведомлений должен установить Роскомнадзор (пока действует рекомендуемая форма, которую можно заполнить и подать через портал персональных данных (https://pd.rkn.gov.ru/operators-registry/notification/)).

     

    Локальные акты по вопросам обработки персональных данных

    В законе конкретизировали требование о том, что локальные акты должны содержать:

    - категории и перечни обрабатываемых данных;

    - категории субъектов данных;

    - способы и сроки обработки, хранения данных;

    - порядок их уничтожения.

    Эти положения нужно установить для каждой цели обработки данных.

    Если компания собирает персональные данные граждан через свой сайт, проверьте, где именно на сайте опубликован документ о политике обработки данных и сведения о реализуемых компанией требованиях к их защите.

    Такая информация должна быть опубликована в том числе на страницах сайта, где непосредственно идет сбор персональных данных (например, на страницах с формами, которые заполняют пользователи).

     

    Обязанности в случае компрометации персональных данных

    У компании есть 24 часа с момента происшествия, чтобы сообщить в Роскомнадзор:

    - об инциденте;

    - его предполагаемой причине и вреде, причиненном субъектам данных;

    - мерах по устранению последствий инцидента;

    - представителе компании, который уполномочен взаимодействовать с Роскомнадзором по вопросам, связанным с происшествием.

    У компании есть 72 часа с момента инцидента, чтобы провести внутреннее расследование и сообщить в Роскомнадзор о его результатах, а также о виновниках (при наличии).

    Компания обязана взаимодействовать с госсистемой обнаружения компьютерных атак (ГосСОПКА), в том числе направлять сообщения об утечке данных. Механизм взаимодействия определит ФСБ.

     

    Поручение обработки персональных данных другому лицу

    В поручении нужно дополнительно отразить:

    - перечень персональных данных;

    - обязанность использовать для записи и хранения персональных данных базы данных на территории РФ;

    - меры, которые должен предпринять исполнитель для выполнения требований Закона о персональных данных;

    - обязанность по запросу предоставлять в течение срока действия поручения информацию о соблюдении условий обработки персональных данных;

    - обязанность уведомить о случаях компрометации обрабатываемых данных.

     

    Согласие на обработку персональных данных

    В число требований к согласию включили то, что оно должно быть предметным и однозначным.

    Если получение согласия обязательно, компания должна разъяснить физлицу последствия не только отказа в предоставлении данных, но и отказа дать согласие на их обработку.

     

    Предоставление информации физлицам об обработке их данных

    Перечень сведений дополнили информацией о том, какими способами компания выполняет обязанности, предусмотренные Законом о персональных данных.

    По запросу гражданина или его представителя сведения нужно предоставить в течение 10 рабочих дней. Срок может быть увеличен в пределах 5 рабочих дней на основании мотивированного уведомления. Ответ дается в той же форме, в какой поступил запрос, если в запросе не указано иное.

     

    Обязанности компании, которая получила данные не от самого физлица

    В состав информации, которую по общему правилу организация обязана предоставить физлицу до начала обработки его данных, включили их перечень.

     

    Прекращение обработки данных по требованию физлица

    У компании есть 10 рабочих дней с момента получения требования физлица, чтобы прекратить обработку данных о нем или обеспечить прекращение обработки (если ее ведет другое лицо). Срок можно продлить в пределах 5 рабочих дней на основании мотивированного уведомления.

     

    Особенности обработки данных потребителей

    1. По общему правилу продавец не может отказать потребителю в заключении, исполнении, изменении или расторжении договора из-за отказа потребителя предоставить персональные данные.

    Есть два исключения:

    - данные нужны для исполнения договора;

    - предоставить данные требует закон.

    За нарушение запрета могут оштрафовать:

    - должностных лиц на сумму от 5 тыс. до 10 тыс. руб.;

    - юрлиц - от 30 тыс. до 50 тыс. руб.

    2. Если потребитель потребует объяснить, почему из-за непредставления персональных данных ему отказали в заключении, исполнении, изменении или расторжении договора, ответить нужно в течение 7 дней, при устном запросе - незамедлительно.

    3. Нельзя отказывать в обслуживании физлицу, если оно не хочет предоставлять биометрические данные или соглашаться на обработку персональных данных, а закон не требует от компании получать такое согласие.

     

    Требования к договору, для исполнения которого нужны персональные данные

    Договор не может содержать положения:

    - ограничивающие права и свободы физлица;

    - устанавливающие случаи обработки данных несовершеннолетних (если иное не предусмотрено законом);

    - позволяющие заключать договор при бездействии физлица.

     

    Использование данных иностранными лицами

    Положения Закона о персональных данных распространили на иностранные компании и физлиц, которые используют данные российских физлиц (например, по договору).

    Если компания передала данные иностранной организации для обработки, ответственность перед физлицом несут обе организации.

    Документы: Федеральный закон от 14.07.2022 N 266-ФЗ; Федеральный закон от 28.05.2022 N 145-ФЗ; Федеральный закон от 01.05.2022 N 135-ФЗ

    Автоматизация 04 октября
    Приглашаем бухгалтеров и руководителей на Единый онлайн-семинар 1С
    Право 04 октября
    Неприменение ККТ: бухгалтерам разъяснили нюансы привлечения к административной ответственности
    Право 04 октября
    С отчета за 2022 год декларацию по налогу на имущество сдают по обновленной форме
    Автоматизация 03 октября
    Как восстановить пароль пользователя?
    Право 27 сентября
    Опубликовали список из 195 основных специальностей в сферах ИТ и связи для отсрочки от мобилизации
    Право 27 сентября
    Декларацию по налогу на прибыль за 2022 год нужно подать по обновленной форме
    Автоматизация 27 сентября
    Как в списке сотрудников сделать отбор по группам сотрудников?
    Автоматизация 27 сентября
    Как изменить «подписанта» в отчетности.
    Право 20 сентября
    Какие выплаты работникам учреждения суды считали нецелевкой: примеры за 1 полугодие 2022 года
    Право 20 сентября
    Топ-3 споров о необоснованной налоговой выгоде: март - август 2022 года
    Автоматизация 20 сентября
    Как внести Справку о доходах с предыдущего места работы?
    Автоматизация 20 сентября
    Где поменять ставку взносов ФСС от несчастных случаев?
    Право 13 сентября
    С 13 сентября страховщики смогут более гибко определять тарифы ОСАГО
    Право 13 сентября
    8 сентября из-за внешних санкций президент принял корпоративные и банковские допмеры
    Право 06 сентября
    Строительство и недвижимость: что изменилось с 1 сентября 2022 года
    Право 06 сентября
    Судебные споры лета 2022 года, которые могут заинтересовать бухгалтера
    Право 30 августа
    Самые важные события для бухгалтера за лето 2022 года
    Право 30 августа
    Персональные данные: Какие изменения учесть компаниям с 1 сентября
    Автоматизация 30 августа
    ВАЖНО: Для тех, кто еще не получил новую ЭЦП в ФНС!
    Право 23 августа
    Работодателям на заметку: Полезные ответы онлайн-инспекции за июль 2022 года