✅ Изменение Закона о персональных данных
Федеральный закон от 14.07.2022 № 266-ФЗ внес значимые изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Большинство изменений применяется с 1 сентября 2022 года. Часть поправок вступит в силу с 1 марта 2023 года. Учитывая значительные размеры штрафов за нарушение порядка работы с персональными данными, компаниям необходимо знать новые обязанности, предусмотренные Законом 152-ФЗ в актуальной редакции.
✅ Уведомление Роскомнадзора об обработке персональных данных работников
Ранее компании-работодатели вправе были не уведомлять Роскомнадзор об обработке персональных данных работников, в том случае, когда такая обработка происходила в соответствии с трудовым законодательством. Данное исключение было предусмотрено подп. 1 п. 2 ст. 22 Закона 152-ФЗ.
С 1 сентября 2022 года данная норма утратила силу. Соответственно, даже если компания обрабатывает персональные данные своих сотрудников исключительно в целях соблюдения трудового законодательства, необходимо уведомить об этом Роскомнадзор.
Изменился и состав сведений, которые должно содержать уведомление (п. 3.1 ст. 22 закона 152-ФЗ). Оператор должен указать для каждой цели обработки персональных данных (далее – ПДн):
– категории ПДн;
– категории субъектов, персональные данные которых обрабатываются;
– правовое обоснование обработки ПДн;
– перечень действий с ПДн;
– способы обработки ПДн.
✅ Форма уведомления
Форму уведомления должен определить Роскомнадзор (п. 8 ст. 22 Закона 152-ФЗ). В настоящее время форма уведомления еще не утверждена Роскомнадзором, поэтому следует использовать форму, приведенную в приложении 1 к Методическим рекомендациям, утвержденным приказом Роскомнадзора от 30.05.2017 № 94.
Роскомнадзор рекомендует использовать электронную форму уведомления, размещенную на официальном сайте ведомства (письмо Роскомнадзора от 19.08.2022 № 08-75348).
Требования к содержанию локальных актов
В целях соблюдения закона 152- ФЗ операторы должны издавать:
– документ, определяющий политику в отношении обработки ПДн;
– локальные акты по вопросам обработки ПДн.
С 1 сентября 2022 г. определен перечень вопросов, который надо отразить в локальных актах. Так локальные акты должны содержать для каждой цели обработки ПДн:
– категории и перечень обрабатываемых ПДн;
– категории субъектов, персональные данные которых обрабатываются;
– способы, сроки обработки и хранения ПДн;
– порядок уничтожения ПДн после того, как цели обработки достигнуты (подп. 2 п. 1 ст. 18.1 закона 152-ФЗ).
При этом в локальные акты нельзя включать следующие условия:
– ограничения прав субъектов ПДн;
– полномочия и обязанности оператора, не предусмотренные законодательством.
Политику в отношении обработки персональных данных следует опубликовать на сайте, через который оператор собирает персональные данные (п. 2 ст. 18.1 Закона 152-ФЗ).
✅ Согласие на обработку персональных данных
Законодатель уточнил требования к согласию на обработку персональных данных. Такое согласие должно быть конкретным, информированным, сознательным, предметным и однозначным (п. 1 ст. 9 Закона 152-ФЗ).
Если же субъект ПДн обратится к оператору с требование прекратить обработку ПДн, оператор обязан выполнить данное требование в течение 10 рабочих дней. Данный срок оператор вправе продлить на 5 рабочих дней, но в этом случае субъекту ПДн необходимо направить уведомление, в котором разъяснить причины продления срока (п. 5.1. ст. 21 Закона 152-ФЗ).
✅ Предоставление информации в Роскомнадзор и субъекту ПДн
Ранее было установлена обязанность оператора предоставлять запрашиваемую информацию в Роскомнадзор в течение 30 дней с даты получения запроса. Теперь срок сократили до 10 рабочих дней (п. 4 ст. 20 закона 152-ФЗ). Продлить срок можно на 5 рабочих дней. Для этого оператор должен направить в Роскомнадзор мотивированное уведомление, в котором указать причины продления срока.
Оператор должен предоставить субъекту ПДн информацию об обрабатываемых персональных данных, при условии, что субъект обратится с соответствующим запросом. Ранее срок для предоставления информации установлен не был. Сейчас оператору дается 10 рабочих дней на предоставление запрашиваемой информации (п. 3 ст. 14 закона 152-ФЗ).
Срок также можно продлить на 5 рабочих дней при условии предоставления субъекту уведомления о причинах продления срока.
Оператор должен представить запрашиваемые сведения по той же форме, что субъект направил запрос. Это правило действует, если субъект ПДн в запросе самостоятельно не определил в какой форме он планирует получить информацию.
«Такском» предлагает сотрудникам организаций и гражданам (физлицам) электронные подписи для любых задач
------------------------------
✅ Такском — один из крупнейших разработчиков сервисов для бизнеса в России. Компания является первым оператором электронной отчетности и основоположником обмена электронными документами в стране.
Более 20 лет компания разрабатывает и внедряет сервисы электронного документооборота. Сейчас в экосистеме продуктов для бизнеса Такском есть современные сервисы электронной отчётности, решения для ЭДО, маркировки, прослеживаемости, ОФД, сервис проверки контрагентов, а также электронные подписи для физических и юридических лиц.
