Приведение обработки персональных данных в соответствие с Федеральным законом от 14.07.2022 № 266-ФЗ

Юридическое сопровождение приведения в соответствие документов организации в связи с Федеральным законом от 14.07.2022 № 266-ФЗ

Обработка персональных данных неразрывно связана не только с государственными услугами резидентам и нерезидентам России, но и с предпринимательской деятельностью в целом. Вместе с тем, вносимые изменения в законодательство в области обработки персональных данных, все больше налагает обязанностей и ответственности на операторов персональных данных. Это связано с тем, что участились случаи неконтролируемой утечки персональных данных из различных организаций, получивших в ходе своей деятельности доступ к персональным данным.

Вместе с тем, изменения, вносимые Федеральным законом от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности» (далее – «Закон № 266-ФЗ»), существенно меняют обязанности операторов персональных данных. К таким обязанностям операторов персональных данных стоит отнести:

1. Уведомление Роскомнадзора об обработке персональных данных. После внесения изменений практически во всех случаях обработки персональных данных необходимо уведомление Роскомнадзора, за исключением неавтоматизированной обработки, обработки персональных в государственных информационных системах, созданные в целях защиты безопасности государства и общественного порядка, а также персональных данных, обрабатываемых в случаях, предусмотренных законодательством о транспортной безопасности. При этом все работодатели, которые обрабатывают персональные данные своих сотрудников автоматизировано, обязаны направить такое уведомление. Организация, направившая такое уведомление включается в реестр операторов персональных данных. Необходимо отметить, что, если обработка персональных данных осуществляется без средств автоматизации, уведомлять ведомство не нужно.
2. Внесение изменений в Политику обработки персональных данных. Изменения необходимо внести в части категории и перечней обрабатываемых данных, категории субъектов данных, способов и сроков обработки, хранения данных, порядка их уничтожения. Такие положения необходимо установить для каждой цели обработки данных.
3. Корректировка согласия на обработку персональных данных. Согласие должно быть предметным и однозначным.
4. Прекращение обработки данных по требованию физлица в соответствии с измененными правилами. У оператора теперь есть только 10 рабочих дней с момента получения требования физического лица, чтобы прекратить обработку данных о нем или обеспечить прекращение такой обработки.
5. Поручение обработки персональных данных другому лицу по новым требованиям. В таком поручении необходимо отразить перечень персональных данных, обязанность использовать для записи и хранения персональных данных базы данных на территории РФ, обязанность по запросу предоставлять в течение срока действия поручения информацию о соблюдении условий обработки персональных данных, обязанность уведомить о случаях компрометации обрабатываемых данных.
6. Сообщить в Роскомнадзор в случае компрометации персональных данных. В случае компрометации персональных данных оператор обязан в течение 24 часов с момента инцидента, сообщить в Роскомнадзор информацию о таком инциденте, его предполагаемой причине и вреде, причиненном субъектам данных, предпринятых мерах по устранению последствий случившегося инцидента, представителе организации, который уполномочен взаимодействовать с Роскомнадзором по вопросам, связанным со сложившейся ситуацией. Вместе с тем, оператор в течение 72 часов должен провести внутреннее расследование инцидента и сообщить о его результатах в Роскомнадзор.
7. Использование данных иностранными лицами. Положения Закона о персональных данных теперь распространяются на иностранные организации и физические лица, которые используют персональные данные российских физических лиц.

Перечень всех вновь появившихся обязанностей для операторов персональных данных отражен в Законе № 266-ФЗ, который внес существенные изменения в законодательство о персональных данных. Необходимо отметить, что внесенные изменения в законодательство о персональных данных обязали операторов провести корректировку Политики обработки персональных данных и ввели новые обязанности для операторов персональных данных. Вместе с тем, за нарушение законодательства о персональных данных наступает ответственность операторов персональных данных.

Учитывая, что всё больше отраслей жизни подлежат цифровизации, зачастую, информация о потребителях тех или иных услуг собирается в электронном виде, при этом, грамотная и квалифицированная обработка персональных данных становится актуальной темой для всех операторов персональных данных. Внесенных Законом № 266-ФЗ изменений в сферу обработки персональных данных достаточно много, эта отрасль законодательства не стоит на месте, все больше и больше обязанностей появляется у операторов персональных данных, за нарушения которых предусматривается соответствующая ответственность. Грамотное и квалифицированное приведение обработки персональных данных в соответствии с требованиями законодательства в этой сфере опытными юристами снизит возможные риски утечки информации о персональных данных, а также позволит избежать штрафных санкций и проверок со стороны Роскомнадзора.

Юридические услуги

1. Консультирование по вопросам обработки персональных данных и необходимых вносимых изменений в обработку персональных данных в связи с принятием Закона № 266-ФЗ
2. Проверка и корректировка имеющихся документов, в области обработки персональных данных в соответствии с Законом № 266-ФЗ Сопровождение деятельности организаций, связанной с обработкой персональных данных
3. Подготовка иных необходимых документов в области обработки персональных данных
4. Представление интересов оператора персональных данных при взаимодействии с Роскомнадзором