Подпишитесь на рассылку
Получайте только нужную
и актуальную информацию
из сферы образования!
Изменения в законе о персональных данных
1 сентября произошли изменения в Федеральном законе «О персональных данных. Обязанностей и штрафов стало больше, а соблюдать требования по работе с персональными данными стало сложнее.
Новый Федеральный закон №266 требует теперь практически во всех случаях информировать Роскомнадзор, если компания собирается обрабатывать данные физических лиц. Кроме того, теперь фактически любой работодатель должен быть зарегистрирован в реестре операторов персональных данных.Компания, которая ещё не стала оператором персональных данных, должна оперативно направить в Роскомнадзор уведомление об их обработке. А оператор – уведомить о новых целях обработки персональных данных не позднее 15 сентября.
Важно, что:
1. Придётся чаще получать согласие клиента на обработку. Появились дополнительные требования о «предметности и однозначности». П.4 ст.1 266-ФЗ.
2. Нельзя отказать в обслуживании, если клиент отказывается предоставить биометрические данные или дать согласие на обработку персданных в необязательных по закону случаях. Этих случаев не так много по п.2 ст.11 152-ФЗ.
3. Появились конкретные требования к содержанию поручения на обработку персданных. П.3 ст.6 152-ФЗ.
4. С физлицом нельзя прописать, что его бездействие подразумевает разрешение на заключение договора, по которому он станет выгодоприобретателем или поручителем. П. 3а ст. 1 266-ФЗ.
5. В три раза быстрее теперь нужно отвечать на запросы человека или Роскомнадзора. Теперь это 10 рабочих дней. П.8а, п.12 ст.1 266-ФЗ. В такой же срок по требованию оператор должен прекратить обработку персданных. П.13 ст.1 266-ФЗ.
6. Об утечке персданных нужно будет сообщить в Роскомнадзор в течение 24 часов с момента инцидента. А в течение 72 часов — проинформировать о результатах внутреннего расследования. П. 13 ст.1 266-ФЗ.
Оператор обязан подключиться к системе ГосСОПКА, чтобы передавать туда информацию о компьютерных инцидентах с утечками персданных. П.12 ст.1 266-ФЗ. Все изменения нужно отразить в политике по обработке персональных данных и локальных нормативных актах компании. Эти документы разрабатываются по требованиям статьи 18.1 152-ФЗ. За непредставление или несвоевременное представление уведомления предусмотрена административная ответственность от предупреждения до 5000 рублей по ст. 19.7 КоАП. За невыполнение требований законодательства в области обработки персданных – штраф от 60 000 до 100 000 по ст.13.11 КоАП.
Также с 1 сентября устанавливается ответственность за отказ потребителю в заключении договора из-за непредоставления персональных данных: 30 000–50 000 р. на основании 145-ФЗ. Штраф касается случаев избыточных требований о предоставлении персданных. Но не распространяется на случаи, когда данные покупателя нужны для исполнения договора – например, сбора адреса для доставки заказа.
