Тотальные изменения 152-ФЗ О персональных данных

Автор: Виталий Селиванов. 1 сентября 2022 года вступают в силу поправки в 152-ФЗ О персональных данных. Изменения внесены Федеральным законом от 14.07.2022 N 266-ФЗ и носят самый масштабный характер с 2011 года. Можно сказать, что уже с сентября существенным образом будут изменены требования к обработке персональных данных как сотрудников, так и иных лиц. При этом данные изменения касаются практически всех лиц, работающих с персональными данными.

1. Наиболее важным уточнением является требование подачи с 01.09.2022 г. уведомления в Роскомнадзор об обработке персональных данных. В старой редакции закона была масса исключений, которые позволяли этого не делать.

Основами поводами работы без «регистрации» в РКН были обработка ПДн сотрудников или в связи с заключением и исполнением договоров. Однако с сентября практически все исключения утратили силу.

Из числа актуальных остались только случаи неавтоматизированной обработки ПДн (т.е. при непосредственном участии человека при использовании, уточнении, распространении, уничтожении персональных данных в отношении каждого из субъектов персональных данных).

Таким образом, ранее работавшая связка Пользовательское соглашение – Политика конфиденциальности, служившая основанием для обработки ПДН в целях заключения и исполнения договора, с 01 сентября 2022 г. становится неактуальной. Даже при наличии Пользовательского соглашения, оферты и иного договора нужно подавать уведомление в РКН и готовить локальные документы по защите ПДн (в уведомлении сообщается о их наличии).

Следствием подачи уведомления является включение в реестр операторов персональных данных и плановые проверки РКН соблюдения организационных и технических требований к защите ПДн.

2. Вторым по важности изменением следует считать уведомление РКН о трансграничной передаче персональных данных с 01 марта 2023 года. Это актуально для сервисов с зарубежным хостингом или поставщиками услуг/товаров российским гражданам. При желании РКН может придраться также к использованию на сайте метрических программ для аналитики трафика или виджетов иностранных поставщиков услуг.

Нужно быть готовым, что РКН может отказать в разрешении на трансграничную передачу ПДн по ряду причин. Поэтому лучше задуматься заранее о переходе на отечественные решения, не требующие передачи данных за рубеж.

3. Третьим по важности изменением можно считать возложение на лицо, обрабатывающее персональные данные по поручению оператора (так называемого «процессора»), всех обязанностей по их защите, предъявляемых к оператору. На иностранного процессора дополнительно возлагается солидарная ответственность с оператором ПДн, т.е. субъект может предъявить требование напрямую как оператору, так и процессору. Данные изменения актуальны для поставщиков облачных сервисов и SaaS (PaaS) решений. Закон обязывает включать подробное описание требований к обработке ПДн непосредственно в контракте с процессором.

4. Политика конфиденциальности должна теперь публиковаться не только где-то на сайте, но и на страницах сбора ПДн. Как вам такое предложение разместить Политику в форму обратной связи или захвата?

5. В завершение упомянем существенное сокращение сроков ответа на запросы субъекта персональных данных. Они сократились с 30 календарных до 10 рабочих дней. Но с учетом изложенного выше, эта поправка явно меньшее из зол.

Пожалуйста, оцените статью:
Ваша оценка: None Средняя: 1 (1 vote)
Источник(и):

Хабр