Что изменится в работе с персональными данными с 1 сентября

1 сентября и ваши персональные данные

Изменятся форма согласия на обработку персональных данных, правила работы с биометрическими персональными данными и порядок взаимодействия с Роскомнадзором. А также появятся пять обязанностей.

«Что изменится в работе с персональными данными с 1 сентября». В. Фролова, С.П. Рогожин, А. Горбушина

© Материал из ЮСС «Система Юрист».

Подробнее: Подробнее ➤

Пять обязанностей

1. Использовать новую форму уведомления. Для каждой цели обработки в уведомлении теперь нужно указывать категории персональных данных и субъектов, чьи данные обрабатываете, правовое основание их обработки и перечень действий с этими данными (ч. 3 и 3.1 статьи 22 Закона о персональных данных).

2.Кроме того, изменили требования к содержанию уведомления о необходимости получить персональные данные от третьих лиц. Теперь дополнительно в уведомлении нужно будет указывать категории персональных данных, которые будете запрашивать (п. 2.1 ч. 3 ст. 18 Закона о персональных данных).

3. Информировать Роскомнадзор об изменении данных субъекта. Если данные из уведомления изменятся, подавать уведомление в Роскомнадзор нужно будет в срок до 15-го числа месяца, следующего за месяцем, когда произошли изменения. В случае, когда прекратите обработку данных, уведомить об этом ведомство нужно будет в течение 10 рабочих дней (ч. 7 ст. 22 Закона о персональных данных).

4. Разработать процедуру по предотвращению нарушений закона. Операторам персональных данных необходимо утвердить локальный акт, который установит процедуры по предотвращению и выявлению нарушений закона о персональных данных. Такие положения можно включить уже в действующий акт или Положение о защите персональных данных (п. 2 ч. 1 ст. 18.1 Закона о персональных данных).

5. Передавать отчет о кибератаках и утечке данных. Оператор обяжут работать с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак. Через нее операторы должны сообщить об инцидентах, из-за которых произошла утечка личных сведений субъектов персональных данных.

Чтобы проинформировать о неправомерной передаче данных, нужно будет подать уведомление в Роскомнадзор. Кроме того, в течение 48 часов нужно будет отчитаться в Роскомнадзор о том, как работодатель провел внутреннее расследование (ч. 12–14 ст. 19, ч. 3.1 ст. 21 Закона о персональных данных). Форму уведомления ведомство пока не утвердило.

Сроки

Отвечать на запросы в течение 10 рабочих дней. Сократили сроки, в течение которых оператор должен ответить на запросы субъекта персональных данных и Роскомнадзора. Теперь отвечать на них нужно будет в течение 10 рабочих дней, а не 30, как раньше (ст. 20 Закона о персональных данных).

Запрет

Новый закон устанавливает дополнительный запрет для операторов персональных данных. С 1 сентября запретили заставлять субъекта предоставить биометрические персональные данные. Это значит, что работодатель не сможет без согласия сотрудника принудить его сфотографироваться на электронный пропуск или предоставить отпечатки пальца для входа в офис. Сотрудник сможет отказаться, а работодатель не вправе его за это наказывать (ч. 3 ст. 11 Закона о персональных данных).

К специальным категориям персональных данных применяется повышенный уровень защиты. Так, обрабатывать специальные категории персональных данных можно только в строго определенных законом случаях или на основании письменного согласия субъекта.

За отсутствие согласия – штраф

За отсутствие письменного согласия или несоблюдение формы согласия Роскомнадзор может оштрафовать на сумму до 150 000 руб. по части 2 статьи 13.11 КоАП. Смотрите, какие еще штрафы можно получить за незаконную обработку персональных данных.

«Как работать с персональными данными». В. Фролова, С.П. Рогожин, А. Горбушина

© Материал из ЮСС «Система Юрист».

Подробнее: Подробнее ➤

Уничтожение персональных данных

В законе нет правил уничтожения персональных данных. Поэтому такой порядок вы вправе разработать самостоятельно и закрепить в локальном акте, например, положении о порядке уничтожения персональных данных.

«Как работать с персональными данными». В. Фролова, С.П. Рогожин, А. Горбушина

© Материал из ЮСС «Система Юрист».

Подробнее: Подробнее ➤

«Что изменится в работе с персональными данными с 1 сентября». В. Фролова, С.П. Рогожин, А. Горбушина

© Материал из ЮСС «Система Юрист».

Подробнее: Подробнее ➤

Как уничтожать персональные данные

1. Субъект персональных данных потребовал уничтожить их (п. 1 ст. 14, п. 3 ст. 20 Закона № 152-ФЗ).

2. Вы самостоятельно обнаружили, что неправомерно обрабатывали персональные данные (п. 3 ст. 21 Закона № 152-ФЗ).

3. Вы достигли цели обработки персональных данных (п. 4 ст. 21 Закона № 152-ФЗ).

4. Субъект персональных данных отозвал согласие на обработку персональных данных (п. 5 ст. 21 Закона № 152-ФЗ).

Какая ответственность за нарушения в сфере персональных данных

Если проверяющий из Роскомнадзора обнаружит одну из ошибок, указанных в статье "Как работать с персональными данными", В. Фролова, С.П. Рогожин, А. Горбушина (10 ошибок) он возбудит дело об административном правонарушении. Рассматривать дело будет суд в порядке статьи 29.7 КоАП (см., например, апелляционное определение Московского городского суда от 14.03.2019 по делу № 33 а-1959).

С 27 марта ужесточили ответственность за нарушения в сфере персональных данных: увеличили вдвое штрафы и исключили такую меру ответственности, как предупреждение.

Например, за незаконную обработку персональных данных оштрафуют по частям 1 и 1.1 статьи 13.11 КоАП. Штраф могут получить не только компании и ИП, но и граждане и должностные лица.

За первое нарушение оштрафуют

• граждан: от 2000 до 6000 руб.;
• должностных лиц и ИП: от 10 000 до 20 000 руб.;
• компании: от 60 000 до 100 000 руб.

Штрафы за повторное нарушение еще строже: до 12 000 руб. — для граждан, до 50 000 руб. — для должностных лиц, до 100 000 руб. — для ИП и до 300 000 руб. — для компаний.

За обработку персональных данных без согласия субъекта в письменной форме оператора привлекут к ответственности по частям 2 и 2.1 статьи 13.11 КоАП. Размер штрафа отличается для разных категорий операторов и в зависимости от того, первое это нарушение или повторное.

Максимальный штраф за первое нарушение: 40 000 руб. — для должностных лиц и ИП, 150 000 руб. — для компаний. За второе нарушение: 100 000 руб. — для должностных лиц, 300 000 руб. — для ИП, 500 000 руб. — для компаний.

«Как работать с персональными данными». В. Фролова, С.П. Рогожин, А. Горбушина

© Материал из ЮСС «Система Юрист».

Подробнее: https://vip.1jur.ru/#/document/16/76227/bssPhr307/?of=copy-1220c7f2ff

«Как работать с персональными данными». В. Фролова, С.П. Рогожин, А. Горбушина

© Материал из ЮСС «Система Юрист».

Подробнее: https://vip.1jur.ru/#/document/16/76227/dfasyfxqxg/?of=copy-1953ef589a

«Как работать с персональными данными». В. Фролова, С.П. Рогожин, А. Горбушина

© Материал из ЮСС «Система Юрист».

Подробнее: https://vip.1jur.ru/#/document/16/76227/dfasvs0nny/?of=copy-4dd8fda37e