Как изменился закон о персональных данных с 1 сентября 2022 года
Пришла осень, а с ней пришли и поправки в законодательстве. Коснулись они и закона о персональных данных, а вместе с тем – всех причастных к этому закону. NewStaff разобрался в изменениях и спешит поделиться знаниями с вами.
С 1 сентября вступают в силу некоторые положения Федерального закона от 14.07.2022 № 266-ФЗ, который внёс поправки в Федеральный закон от 27.07.2006 № 152-ФЗ. Рассмотрим подробнее эти изменения.
Принцип экстерриториальности
Теперь закон будет применяться и к иностранным юридическим и физическим лицам, которые обрабатывают персональные данные (ПД) россиян на основании договора с ними или с их согласия.
Взаимодействие с ГосСОПКой
В России в 2013 году была создана государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы (ГосСОПКА). Она выявляет инциденты кибератак и т.п. В скором времени ФСБ должны принять подзаконный акт, который объяснит порядок взаимодействия с ГосСОПКой. И после его принятия компаниям нужно будет утвердить регламент взаимодействия с ГосСОПКой. За несообщение информации госорганам – штраф от 3 до 5 тыс. руб.
Уведомление об инцидентах
При утечке ПД теперь оператор обязан в течение 24 часов уведомить об этом Роскомнадзор, сообщить предполагаемые причины и последствия, а также в течение 72 часов расследовать инцидент и доложить о результатах этого расследования. За несообщение информации госорганам – штраф от 3 до 5 тыс. руб.
Уведомление об изменении ПД или прекращения обработки ПД
Теперь оператор должен сообщить в Роскомнадзор об изменениях ПД в течение 15 дней и о прекращении обработки ПД – в течение 10 дней. За несообщение информации госорганам – штраф от 3 до 5 тыс. руб.
Согласие на обработку ПД
С 1 сентября, если это не разрешено законодательством, нельзя собирать ПД несовершеннолетних, а также ограничивать права и свободы субъектов ПД и получать согласия в результате бездействия субъекта (т.е. молчания). За нарушение грозит штраф от 30 до 150 тыс. руб.
Политика конфиденциальности и локальные акты
Для каждой цели обработки теперь нужно указывать категории и перечень ПД, способы и сроки их обработки и хранения, порядок уничтожения. Также политика конфиденциальности с 1 сентября должна быть размещена на всех интернет-страницах, на которых собирается ПД. Иначе – штраф от 30 до 60 тыс. руб.
Реагирование на запросы субъектов
Если ранее срок реагирования был 30 дней, то теперь он сократился до 10 рабочих дней и может продлеваться до 15. Штраф за нарушение – от 40 до 80 тыс. руб.
Биометрические персональные данные
Отныне компания не может отказаться обслуживать клиента, который не захотел предоставлять ей свои биометрические данные (отпечаток пальца, слепок голоса и др.). Если в договоре найдут положение об обязательном предоставлении таких данных, то могут оштрафовать на 60-100 тыс. руб.
NewStaff следит за всеми изменениями, которые происходят в законодательстве РФ. Если вы тоже хотите быть в курсе дела, то следите за нашим сайтом. А также напоминаем, что наши менеджеры всегда готовы проконсультировать вас по всем интересующим вопросам.
