Уведомления в Роскомнадзор. Оператор обработки персональных данных

С 1 сентября 2022 года вступают в силу самые масштабные за 10 лет поправки в 152-ФЗ “О персональных данных”. Уже с сентября существенным образом будут изменены требования к обработке персональных данных как сотрудников, так и иных лиц. При этом данные изменения касаются практически всех лиц, работающих с персональными данными. 

Поправки позволят:

• Повысить ответственность операторов персональных данных;
• Сделать их деятельность более прозрачной;  
• Защитить личные данные граждан. 

Иностранные операторы

Положения 152-ФЗ распространили на иностранные компании и физлиц, которые используют данные российских физлиц (например, по договору).
 

• Иностранные операторы (юр. и физ. лица) будут руководствоваться 152-ФЗ в случае осуществления ими обработки ПДн граждан РФ.
   

• Оператор будет нести ответственность перед субъектом ПДн за действия иностранных операторов (юр. и физ. лица, которым он поручил обработку ПДн). 
   

• При трансграничной передаче ПДн, оператор должен уведомлять по установленной форме РКН о своем намерении осуществить передачу. В свою очередь, РКН может запрещать или ограничивать передачу в целях защиты государства и граждан.

Полномочия РКН

Роскомнадзор установит требования по оценке вреда, который может быть причинен субъектам ПДн при нарушении 152-ФЗ. Помимо этого, РКН будет вести реестр учета инцидентов в области ПДн, а также определит порядок взаимодействия с операторами ПДн в рамках его ведения. ФСБ и РКН будут обмениваться информацией о компьютерных инцидентах.

Госорганы, органы местного самоуправления и Банк России будут согласовывать с РКН свои нормативно-правовые акты, регулирующие трансграничную передачу ПДн, обработку специальных категорий и биометрических ПДн, ПДн несовершеннолетних, предоставлением, распространением ПДн, полученных в результате обезличивания.

Подтверждение уничтожения ПДн будет также осуществляться в соответствии с требованиями, установленными РКН.

Правила уведомлений

Отменено право оператора не уведомлять РКН о намерении обработки ПДн. Таким образом, организациям следует проинформировать ведомство, если компания собирается обрабатывать персональные данные:

• Своих работников;
• Клиентов (исключительно для заключения и исполнения договоров);
• Физлиц, которые разрешили их распространять (только в части ФИО для однократного пропуска на территорию).

Уведомление не требуется если для обработки персональных данных не используются средства автоматизации. Например, если данные о посетителях записывают в бумажный журнал при выдаче им разовых пропусков.

Также была введена обязанность оператора по незамедлительному уведомлению РКН в случае утечки ПДн субъекта. Оператор будет обязан информировать РКН:

В течение 4 часов об установление факта утечки;В течение 72 часов о результатах внутреннего расследования. 

Наконец, установлены сроки ответа на запрос субъекта ПДн — 10 рабочих дней (с возможностью продления на 5 рабочих дней при условии мотивированного уведомления субъекта).

Обработка ПДн

Для каждой цели у организации должна быть индивидуальная политика обработки ПДн. Политика должна определять категории субъектов, обрабатываемые ПДн, способы, сроки их обработки и хранения, а также порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований. Запрещается включать в политику положения, ограничивающих права субъектов, а также полномочия и обязанности оператора, не указанных в законе напрямую.

Расширены обязанности лиц, которым оператор поручает обработку ПДн:
 

Операторы будут определять перечень ПДн;Обязанности лиц, осуществляющих обработку ПДн по поручению, будут аналогичны обязанностям оператора. 

Установлен срок для прекращения обработки ПДн — не более 10 рабочих дней. 

Расширены требования к согласию на обработку ПДн — теперь согласие на обработку ПДн должно быть конкретным, предметным, информированным, сознательным и однозначным. 

Если предоставление биометрических данных и согласия на обработку ПДн не является обязательным, оператор не вправе отказывать в обслуживании в случае такого отказа субъекта ПДн.

Ответственность за нарушения

Согласно статье 13.11 КоАП РФ, за невыполнение требований законодательства в области обработки ПДн операторам грозит штраф от 60 до 100 тыс. рублей.

Также с 1 сентября 2022 года отказ в заключении, исполнении, изменении или расторжении договора с потребителем из-за непредоставления персональных данных влечет административный штраф:

От 5-10 тысяч рублей для должностных лиц; От 30-50 тысяч рублей для юрлиц. 

Чем мы можем помочь

В связи с таким масштабным списком изменений, мы предлагаем комплекс услуг по обеспечению безопасности персональных данных в Вашей организации. 

“Астрал. Безопасность” — многопрофильный системный интегратор ИБ, более 15 лет обеспечивает безопасность информационных систем различного уровня сложности по всей России. Мы проводим полный цикл работ по приведению ИСПДн в соответствие с требованиями 152-ФЗ и нормативными документами ФСТЭК и ФСБ России по защите ПДн, а именно: 

< >Защита информационных систем персональных данных (ИСПДн);Защита конфиденциальной информации, в том числе государственной и коммерческой тайны;Безопасность критических информационных инфраструктур (КИИ);Аудит информационной безопасности и консультации по вопросам ИБ;Поставка, установка и настройка средств защиты информации; 

Наши преимущества:

• Мы работаем на рынке более 30 лет,
• Предлагаем техническую поддержку,
• Более миллиона клиентов по всей России

Условия оплаты: Безналичный и наличный расчет, а также расчетный счет по предоплате 100%

Если у вас остались вопросы по Уведомления в Роскомнадзор. Оператор обработки персданных. или вы хотите сделать заказ, оформите заявку на сайте или позвоните по телефону, указанному в контактах.