1 сентября и ваши персональные данные
Изменятся форма согласия на обработку персональных данных, правила работы с биометрическими персональными данными и порядок взаимодействия с Роскомнадзором. А также появятся пять обязанностей.
«Что изменится в работе с персональными данными с 1 сентября». В. Фролова, С.П. Рогожин, А. Горбушина
© Материал из ЮСС «Система Юрист».
Подробнее: Подробнее ➤
Пять обязанностей
1. Использовать новую форму уведомления. Для каждой цели обработки в уведомлении теперь нужно указывать категории персональных данных и субъектов, чьи данные обрабатываете, правовое основание их обработки и перечень действий с этими данными (ч. 3 и 3.1 статьи 22 Закона о персональных данных).
2.Кроме того, изменили требования к содержанию уведомления о необходимости получить персональные данные от третьих лиц. Теперь дополнительно в уведомлении нужно будет указывать категории персональных данных, которые будете запрашивать (п. 2.1 ч. 3 ст. 18 Закона о персональных данных).
3. Информировать Роскомнадзор об изменении данных субъекта. Если данные из уведомления изменятся, подавать уведомление в Роскомнадзор нужно будет в срок до 15-го числа месяца, следующего за месяцем, когда произошли изменения. В случае, когда прекратите обработку данных, уведомить об этом ведомство нужно будет в течение 10 рабочих дней (ч. 7 ст. 22 Закона о персональных данных).
4. Разработать процедуру по предотвращению нарушений закона. Операторам персональных данных необходимо утвердить локальный акт, который установит процедуры по предотвращению и выявлению нарушений закона о персональных данных. Такие положения можно включить уже в действующий акт или Положение о защите персональных данных (п. 2 ч. 1 ст. 18.1 Закона о персональных данных).
5. Передавать отчет о кибератаках и утечке данных. Оператор обяжут работать с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак. Через нее операторы должны сообщить об инцидентах, из-за которых произошла утечка личных сведений субъектов персональных данных.
Чтобы проинформировать о неправомерной передаче данных, нужно будет подать уведомление в Роскомнадзор. Кроме того, в течение 48 часов нужно будет отчитаться в Роскомнадзор о том, как работодатель провел внутреннее расследование (ч. 12–14 ст. 19, ч. 3.1 ст. 21 Закона о персональных данных). Форму уведомления ведомство пока не утвердило.
Сроки
Отвечать на запросы в течение 10 рабочих дней. Сократили сроки, в течение которых оператор должен ответить на запросы субъекта персональных данных и Роскомнадзора. Теперь отвечать на них нужно будет в течение 10 рабочих дней, а не 30, как раньше (ст. 20 Закона о персональных данных).
Запрет
Новый закон устанавливает дополнительный запрет для операторов персональных данных. С 1 сентября запретили заставлять субъекта предоставить биометрические персональные данные. Это значит, что работодатель не сможет без согласия сотрудника принудить его сфотографироваться на электронный пропуск или предоставить отпечатки пальца для входа в офис. Сотрудник сможет отказаться, а работодатель не вправе его за это наказывать (ч. 3 ст. 11 Закона о персональных данных).
К специальным категориям персональных данных применяется повышенный уровень защиты. Так, обрабатывать специальные категории персональных данных можно только в строго определенных законом случаях или на основании письменного согласия субъекта.
За отсутствие согласия – штраф
За отсутствие письменного согласия или несоблюдение формы согласия Роскомнадзор может оштрафовать на сумму до 150 000 руб. по части 2 статьи 13.11 КоАП. Смотрите, какие еще штрафы можно получить за незаконную обработку персональных данных.
«Как работать с персональными данными». В. Фролова, С.П. Рогожин, А. Горбушина
© Материал из ЮСС «Система Юрист».
Подробнее: Подробнее ➤
Уничтожение персональных данных
В законе нет правил уничтожения персональных данных. Поэтому такой порядок вы вправе разработать самостоятельно и закрепить в локальном акте, например, положении о порядке уничтожения персональных данных.
«Как работать с персональными данными». В. Фролова, С.П. Рогожин, А. Горбушина
© Материал из ЮСС «Система Юрист».
Подробнее: Подробнее ➤
«Что изменится в работе с персональными данными с 1 сентября». В. Фролова, С.П. Рогожин, А. Горбушина
© Материал из ЮСС «Система Юрист».
Подробнее: Подробнее ➤
Как уничтожать персональные данные
1. Субъект персональных данных потребовал уничтожить их (п. 1 ст. 14, п. 3 ст. 20 Закона № 152-ФЗ).
2. Вы самостоятельно обнаружили, что неправомерно обрабатывали персональные данные (п. 3 ст. 21 Закона № 152-ФЗ).
3. Вы достигли цели обработки персональных данных (п. 4 ст. 21 Закона № 152-ФЗ).
4. Субъект персональных данных отозвал согласие на обработку персональных данных (п. 5 ст. 21 Закона № 152-ФЗ).
Какая ответственность за нарушения в сфере персональных данных
Если проверяющий из Роскомнадзора обнаружит одну из ошибок, указанных в статье "Как работать с персональными данными", В. Фролова, С.П. Рогожин, А. Горбушина (10 ошибок) он возбудит дело об административном правонарушении. Рассматривать дело будет суд в порядке статьи 29.7 КоАП (см., например, апелляционное определение Московского городского суда от 14.03.2019 по делу № 33 а-1959).
С 27 марта ужесточили ответственность за нарушения в сфере персональных данных: увеличили вдвое штрафы и исключили такую меру ответственности, как предупреждение.
Например, за незаконную обработку персональных данных оштрафуют по частям 1 и 1.1 статьи 13.11 КоАП. Штраф могут получить не только компании и ИП, но и граждане и должностные лица.
За первое нарушение оштрафуют
- граждан: от 2000 до 6000 руб.;
- должностных лиц и ИП: от 10 000 до 20 000 руб.;
- компании: от 60 000 до 100 000 руб.
Штрафы за повторное нарушение еще строже: до 12 000 руб. — для граждан, до 50 000 руб. — для должностных лиц, до 100 000 руб. — для ИП и до 300 000 руб. — для компаний.
За обработку персональных данных без согласия субъекта в письменной форме оператора привлекут к ответственности по частям 2 и 2.1 статьи 13.11 КоАП. Размер штрафа отличается для разных категорий операторов и в зависимости от того, первое это нарушение или повторное.
Максимальный штраф за первое нарушение: 40 000 руб. — для должностных лиц и ИП, 150 000 руб. — для компаний. За второе нарушение: 100 000 руб. — для должностных лиц, 300 000 руб. — для ИП, 500 000 руб. — для компаний.
«Как работать с персональными данными». В. Фролова, С.П. Рогожин, А. Горбушина
© Материал из ЮСС «Система Юрист».
Подробнее: https://vip.1jur.ru/#/document/16/76227/bssPhr307/?of=copy-1220c7f2ff
«Как работать с персональными данными». В. Фролова, С.П. Рогожин, А. Горбушина
© Материал из ЮСС «Система Юрист».
Подробнее: https://vip.1jur.ru/#/document/16/76227/dfasyfxqxg/?of=copy-1953ef589a
«Как работать с персональными данными». В. Фролова, С.П. Рогожин, А. Горбушина
© Материал из ЮСС «Система Юрист».
Подробнее: https://vip.1jur.ru/#/document/16/76227/dfasvs0nny/?of=copy-4dd8fda37e
