Новые правила работы с данными

06.09.2022
С 1 сентября 2022 года вступили в силу поправки в Федеральный закон № 152-ФЗ «О персональных данных». Поправки касаются изменений требований к работе с персональными данными (ПД). Часть поправок вступит в силу позднее – 1 марта 2023 года.
 
Теперь любая операция с информацией о человеке: от приёма пакета документов до изучения биометрии – считается обработкой ПД, а компания, выполняющая обработку, – оператором ПД (даже если в компании один сотрудник). 

Ранее законом были определены 3 принципа работы с персональными данными:
  1. молчание или бездействие не являются согласием на обработку;
  2. согласие на обработку ПД оформляется отдельно;
  3. человек имеет право установить запрет на передачу данных. 

Что изменилось с 1 сентября для субъекта ПД?

Теперь работник имеет право не подавать биометрические данные, то есть те данные, которые помогают идентифицировать человека по физиологическим особенностям. Если работник отказывается предоставлять биометрию, то у работодателя нет права, к примеру, вести за ним видеонаблюдение или требовать его фотографию.

С 30 до 10 дней уменьшился срок ответа на запрос сотрудника относительно собственных ПД. Ответ должен быть дан в той же форме, что и запрос, если не оговорено иное. 

Что изменилось с 1 сентября для оператора ПД?

С 1 сентября недостаточно вывесить анкету соискателя на сайте компании, она должна быть размещена на интернет-ресурсах, где персональные данные собираются. 

Кроме того, теперь о намерении обрабатывать персональные данные, нужно уведомлять Роскомнадзор, даже если речь идёт о пропуске на территорию или заключении договора ГПХ. Исключение составляют случаи, когда данные обрабатываются в целях защиты транспортной безопасности, безопасности государства и общественного порядка, а также если оператор обрабатывает данные без средств автоматизации (например, записывает в бумажный журнал). 

Сократилось и время подачи уведомлений в Роскомнадзор: с 30 до 10 дней. Также не позднее 10 дней нужно ответить и на запрос Роскомнадзора. 

В случае обнаружения оператором факта неправомерной или случайной передачи ПД, который повлек нарушение прав субъектов ПД, необходимо в течение 24 часов уведомить Роскомнадзор. При этом оператор ПД должен не только сообщить о случившемся, но и описать предполагаемые причины, оценить потенциальный вред, и назвать принятые по устранению меры. 
«Введение поправок связано с изменением формата работы. Фриланс и удалёнка стали привычными, но значительно повысили угрозы информационной безопасности – просто потому, что обмен информацией перешёл в интернет-пространство. Поправки должны помочь уменьшить количество инцидентов с утечками. Наше агентство всегда внимательно относилось к обработке персональных данных. Поэтому для нас переход на новый формат работы (особенно в плане сокращения сроков) не будет болезненным» - отметила Наталья Вязигина, исполнительный директор агентства цифрового маркетинга «Аксиома-Веб»
Мы используем файлы cookie, чтобы обеспечить вам максимальное удобство на нашем веб-сайте