АНАЛИТИКА

Международные новости утечек информации, ежегодные аналитические отчеты и статистика по инцидентам за прошедшие годы.

15 сентября 2022

Персональные данные россиян: изменения с сентября 2022 г.

Персональные данные россиян и их защита остаются одной из самых обсуждаемых тем в госорганах и обществе. В 2022 г. был принят ряд нормативных правовых актов (НПА), устанавливающих правила, как обрабатывать персональные данные. Мы рассмотрим изменения, затрагивающие персональные данные (ПДн), вступившие в силу с 1 сентября.

Федеральным законом №145-ФЗ была введена ответственность по статье 14.8 Кодекса об административных нарушениях РФ за нарушение, связанное с расторжением договора с пользователем, который отказался предоставлять свои ПДн. Штраф для юрлиц и ИП –  от 30 до 50 тысяч рублей.

Согласно подписанному в июле Федеральному закону №266-ФЗ значительно сокращено число случаев, когда организация, обрабатывающая данные граждан РФ, может не уведомлять Роскомнадзор (РКН) о начале такой обработки и обязана регистрироваться в Едином реестре операторов персональных данных. Теперь таких случаев осталось всего три (ранее их было девять):

  • если обработка данных проводится без применения средств автоматизации;
  • если ПДн вносят в ГИС, предназначенную для обеспечения безопасности и общественного порядка;
  • если обработка ПДн ведется в целях обеспечения транспортной безопасности по соответствующим законам.

Нужно отметить, что теперь все работодатели обязаны зарегистрироваться в Едином реестре операторов. Кроме того, законом вводятся понятия «предметности и однозначности» согласия субъекта на обработку его ПДн.

Если субъект ПДн запросил сведения о том, как организация обрабатывает его данные, то она обязана дать ответ в рамках 10 раб. дней (ранее организации предоставлялось 30 дней на ответ). Так же 10 рабочих дней с момента требования субъектом есть у оператора персональных данных на прекращение обработки или (если данные обрабатываются подрядчиком) обеспечение прекращения подобной обработки.

Закон включает пункт о невозможности включения в договор с физлицом пункта о том, что бездействие человека расценивается как разрешение на подписание соглашения, где он становится выгодоприобретателем или поручителем. Также закон вводит ответственность иностранной организации, обрабатывающей ПДн россиян перед непосредственно субъектами ПДн.

НПА в области персональных данных несовершеннолетних теперь необходимо согласовывать с Роскомнадзором (РКН). Срок согласования – не более 30 дней с даты поступления запроса.

Положения договора, для исполнения которого требуются персональные данные несовершеннолетнего, не может устанавливать случаи обработки таких данных.

Важным нововведением является наложение обязательств на операторов ПДн по подключению к информсистеме ГосСОПКА и передаче информации об инцидентах информационной безопасности, приведших к утечкам хранящихся данных. Уведомить ответственный госорган (Роскомнадзор) о произошедшей утечке необходимо в срок 24 часа после фиксации инцидента. 72 часа законом дается на предоставление РКН информации о результатах расследования инцидента. Ответить на запрос этой федеральной службы на тему обработки ПДн организация обязуется в срок 10 раб. дней.

При отказе человеком предоставить биометрию по ФЗ-266 организация не имеет права отказать ему в обслуживании.

По принятому в июле Федеральному закону №325-ФЗ с первого сентября биометрические данные из локальных, используемых в организациях, ИТ-систем должны быть переданы в Единую биометрическую систему. Законом описан порядок загрузки данных: организации обязаны уведомить сдавших биометрию о передаче их данных в ЕБС и убедиться в получении уведомления. Гражданам предоставлено право отказаться от возможности хранения их данных в единой системе и потребовать информацию удалить.

В соответствии с июньским постановлением Правительства РФ № 1089 с 1 сентября 2022 г. Единая биометрическая система предоставляет информацию, которая появилась при обработке биометрии россиян, в государственные информсистемы, владельцами или операторами которых являются госорганы, получившие разрешение на владение этими ГИС или работу в качестве операторов этих систем.

Подпишитесь на рассылку INFOWATCH
l.12-.057c.834-.407 1.663-.812 2.53-1.211a42.414 42.414 0 0 1 3.345-1.374c2.478-.867 5.078-1.427 7.788-1.427 2.715 0 5.318.56 7.786 1.427z" transform="translate(-128 -243)"/>