С нами можно связаться по телефону:
График работы:
Пн.- Пт. с 9:00 до 18:00Адрес:
Санкт-Петербург, ул. Большая Монетная д. 16С 1 сентября 2022 года вступают в силу поправки в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (внесены Федеральным законом от 14.07.2022 N 266-ФЗ).
Для операторов персональных данных предусмотрели ряд новых обязанностей и установили некоторые запреты. Целью изменений является усиление защиты прав российских граждан на неприкосновенность частной жизни и ужесточение требований к операторам при обработке персональных данных.
Наиболее важным уточнением является требование подачи с 1 сентября 2022 года уведомления в Роскомнадзор об обработке персональных данных. В старой редакции закона была масса исключений, которые позволяли этого не делать.
До сентября можно было не сообщать в Роскомнадзор об обработке персональных данных сотрудников, посетителей и контрагентов (подп. 1-6 п. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ до изменений). Однако с сентября практически все исключения утратили силу.
С 1 сентября 2022 года не уведомлять Роскомнадзор можно, только если вы будете проводить неавтоматизированную обработку персональных данных, т.е. при непосредственном участии человека при использовании, уточнении, распространении, уничтожении персональных данных в отношении каждого из субъектов персональных данных (подп. 8 п. 2 ст. 22 Закона № 152-ФЗ).
Согласно Закону N 266-ФЗ с 1 сентября нужно будет уведомлять Роскомнадзор о планах обрабатывать, в т. ч. персональные сведения:
По новым правилам согласие на обработку персональных данных должно быть предметным и однозначным, а не только конкретным, информированным и сознательным (п. 1 ст. 9 Закона № 152-ФЗ). Это означает, что из документа должно быть понятно, для каких целей компания собирает персональные данные, а физлицо должно ясно выразить свое согласие.
Для исполнения новых требований проверьте все согласия. Согласие на обработку персональных данных, которое вы берете от сотрудника при приеме на работу, должно содержать цели обработки из статьи 86 ТК РФ, указывать иные цели нельзя.
Если будете передавать персональные данные за рубеж, об этом нужно также будет уведомить Роскомнадзор. Срок, в течение которого надо предоставлять данные по требованию Роскомнадзора, сократился с 30 суток до 10 рабочих дней.
Чтобы предотвратить утечку информации, работодатели обязаны постоянно взаимодействовать с государственной системой обнаружения, предупреждения и ликвидации последствий кибератак на информационные ресурсы (ГосСОПК) (ст. 5 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры РФ»).
В частности, через нее придется сообщать об инцидентах и причинах, из-за которых произошла утечка личных сведений. При подозрении на утечку из базы личных данных необходимо в течение 24 часов сообщить в Роскомнадзор об инциденте и его предполагаемых причинах. А через 72 часа проинформировать контролирующие органы о результатах проведённого расследования.
Получая персональные сведения о субъекте от третьих лиц, оператор обязан информировать об этом субъекта. Причем сделать это нужно до начала обработки данных. В уведомлении указывают источник получения личных сведений, их перечень, цели и правовые обоснования для обработки.
Операторам запретили отказывать физическому лицу в услугах, если оно не хочет предоставлять биометрические сведения или соглашаться на обработку персональные данных, если по закону получать согласие на нее необязательно.
Обращение с персональными данными Покупателей теперь регулируют два законодательных акта — Закон № 266 «О персональных данных» и Закон № 135-ФЗ «О защите прав потребителей».
С 1 сентября 2022 года Продавец не сможет отказать в продаже товаров или услуг из-за того, что Покупатель не предоставил свои персональные данные. Соответствующие поправки в Закон о защите прав потребителей внесены Федеральным законом от 01.05.22 № 135-ФЗ.
Как указано в Пояснительной записке к документу, сейчас при совершении покупок или оплате услуг у людей под разными предлогами собирают номера телефонов, адреса электронной почты и другие личные сведения. Делается это даже в тех случаях, когда предоставление такой информации не является обязательным. Прежде всего это касается онлайн — торговли. Принятие соответствующих поправок позволит дополнительно защитить права потребителей.
Согласно комментируемому Закону № 135-ФЗ Продавец (исполнитель, владелец агрегатора) не сможет отказать в заключении, исполнении, изменении или расторжении договора потребителю, который не готов предоставить свои персональные данные. Исключение — случаи, когда обязанность сообщать такие данные предусмотрена законодательством или связана с исполнением договора.
Кроме этого, в Законе № 135-ФЗ прописан перечень недопустимых условий договора, которые ущемляют права потребителей:
Теперь Покупатель может запросить, с какой целью собираются его персональные данные. Если обращение устное, Продавец обязан дать ответ немедленно, если подано письменно, в электронной или иной форме, то на разъяснение даётся семь дней. Контролем вопроса займётся Роспотребнадзор.
Когда можно требовать ПД
Персональные данные для заключения договора можно потребовать в двух случаях:
Когда нельзя требовать ПД
Продавец не вправе требовать от Покупателя персональные данные как при покупке, так и при возврате товара. Например, запрет распространяется на требование:
Все эти данные можно получить и использовать только с согласия Покупателя
Новые нормы касаются потребителей, покупающих товары для личных, семейных, домашних и иных нужд, не связанных с осуществлением предпринимательской деятельности.
Например, если вы покупаете самокат для индивидуального использования, поправки действуют. А если покупаете 30 самокатов для организации кикшеринга — уже нет. Также новшества не затронут компании, работающие B2B, но на них по-прежнему будет распространяться Закон о персональных данных.
Новые требования будут распространяться на все договоры, в том числе те, которые были заключены до 1 сентября 2022 года. При этом, если для соблюдения новых условий пришлось изменить договор, а Покупатель понёс убытки, Продавец должен полностью их компенсировать. Политику конфиденциальности по новым правилам необходимо размещать не только где-то на сайте, но и на каждой странице интернет — ресурса, где осуществляется сбор ПД.
Штрафные санкции
Федеральным законом от 28.05.2022 № 145-ФЗ внесены поправки в статью 14.8 КоАП. В ней установлены штрафы за отказ магазина заключить договор с потребителем, который не сообщил персональные данные (исключение — случаи, когда обязанность сообщить такие данные предусмотрена законодательством или связана с непосредственным исполнение договора).
Размеры штрафа:
Ввели новые требования к Положению о персональных данных (подп. 2 п. 1 ст. 18.1 Закона № 152-ФЗ). Если раньше организации сами определяли, какие разделы включить в Положение, то теперь разделы регламентировали. Необходимо определить в документе:
Таким образом, добавьте в ваше Положение о персональных данных необходимые разделы и разместите Положение на каждой странице сайта, на которых вы собираете персональные данные (п. 2 ст. 18.1 Закона № 152-ФЗ). Исключите из документа положения, которые ограничивают права работников. Убедитесь, что в нем нет избыточных прав и обязанностей (например, Положение о персональных данных не должно обязывать сотрудника приносить новый документ, в котором изменились его персональные данные).
На e-mail и других видах рассылок поправки существенно не отразятся, но по-прежнему нужно придерживаться правил, в соответствии с которыми запрещено:
Статью подготовила — ведущий аудитор компании Басыня Н.К.
Спасибо за оставленную заявку. Наш менеджер свяжется с Вами в ближайшее время.