В каких случаях согласие на обработку может быть отозвано а обработка персональных данных сдо ржд

В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона о персональных данных.

При этом отзыв согласия на обработку персональных данных должен быть направлен непосредственно оператору, осуществляющему обработку персональных данных.

Другие вопросы по теме

  • Кто может являться оператором персональных данных?
  • В каких случаях оператор вправе осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных?
  • В каких случаях оператор вправе обрабатывать персональные данных без согласия субъекта персональных данных?
  • Какие действия могут быть предприняты субъектом персональных данных при нарушениях требований законодательства Российской Федерации в области персональных данных?

Введены ограничения на предоставление персональных данных

Закон дополнен положением, в соответствии с которым предоставление биометрических персональных данных (фотография, видеозапись, дактилоскопические данные и др. ) не может быть обязательным, если это не установлено законом. Соответственно, теперь поводов отказать клиенту в обслуживании стало меньше.

К биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных (ч. 1 ст. 11 Закона № 152-ФЗ).

Фотографическое изображение и иные сведения, которые используются для обеспечения однократного и/или многократного прохода на охраняемую территорию и установления личности гражданина, также относятся к биометрическим персональным данным (Письмо Минцифры России от 17. 2020 N ОП-П24-070-19433).

Соответственно, теперь организация не вправе отказать в обслуживании клиенту, если он, например, отказался предоставлять свою фотографию для пропуска.

При этом отметим, что в соответствии с разъяснениями Роскомнадзора сканирование, копирование паспорта (например, при заключении договора на оказание услуг, в том числе банковских, медицинских и т. ) без проведения процедур идентификации (установления личности) не считается обработкой биометрических персональных данных.

Также не относится к биометрическим персональным данным фотографическое изображение, которое содержится в личном деле работника. Поскольку действия с использованием указанных данных направлены на подтверждение их принадлежности конкретному физическому лицу, чья личность уже определена и чьи персональные данные уже имеются в распоряжении оператора (Разъяснения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 30. 2013 «Разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки»).

Исключением являются ситуации, предусмотренные в ч. 2 ст. 11: в частности, когда биометрические персональные данные обрабатываются в связи с осуществлением правосудия, в связи с проведением обязательной государственной дактилоскопической регистрации, при въезде и выезде из России и в других законодательно установленных случаях.

Субъекту персональных данных не может быть отказано в обслуживании, если он не желает предоставлять биометрические персональные данные, и предоставление таких данных не является обязательным по закону.

Обработка персональных данных третьими лицами

Более строгими стали условия обработки персональных данных третьими лицами по поручению оператора (предусмотрены ст. 6 Закона № 152-ФЗ). Такое поручение теперь должно содержать дополнительные сведения и обязательства третьих лиц, помимо тех, которые были определены ранее. Например, работодатель с согласия работника вправе поручить обработку его персональных данных третьему лицу (юридическому лицу, ИП или физическому лицу) на основании заключённого с таким лицом договора (ведение кадрового, бухгалтерского учета и пр.

С 1 сентября 2022 г. в таком поручении должны быть отдельно указаны следующие сведения:

  • Перечень персональных данных, которые будут обрабатываться третьим лицом по поручению оператора.
  • Обязанности третьего лица:
    соблюдать требования ч. 5 ст. 18, ст. 18.1 Закона № 152-ФЗ, которые возложены на оператора персональных данных;предоставлять оператору по его запросу документы и иную информацию, подтверждающую осуществление мер и соблюдение требований по защите персональных данных;уведомить оператора о случаях неправомерной или случайной передачи персональных данных в сроки, установленные ч. 3.1 ст. 21 Закона № 152-ФЗ.
  • соблюдать требования ч. 5 ст. 18, ст. 18.1 Закона № 152-ФЗ, которые возложены на оператора персональных данных;
  • предоставлять оператору по его запросу документы и иную информацию, подтверждающую осуществление мер и соблюдение требований по защите персональных данных;
  • уведомить оператора о случаях неправомерной или случайной передачи персональных данных в сроки, установленные ч. 3.1 ст. 21 Закона № 152-ФЗ.

Если третьим лицом, которому российский оператор поручил обрабатывать персональные данные, является иностранное юридическое или физическое лицо, то ответственность за нарушение условий обработки перед субъектом персональных данных несет как оператор, так и указанное иностранное лицо.

Образцы документов на обработку персональных данных с 1 сентября 2022 г. — см. здесь >>

Что должно быть в ЛНА по персональным данным?

Конкретизированы требования к содержанию и опубликованию локальных актов в сфере персональных данных:

  • политика оператора и иные локальные акты в области обработки персональных данных должны определять для каждой цели обработки:
    категории и перечень персональных данных, категории субъектов, способы, сроки обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;
  • категории и перечень персональных данных,
  • категории субъектов,
  • способы, сроки обработки и хранения,
  • порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;
  • локальные акты оператора не могут ограничивать права субъектов персональных данных, а также возлагать на оператора не предусмотренные законом полномочия и обязанности.

Оператор обязан опубликовать политику на своем сайте, а также на тех страницах, на которых осуществляется сбор персональных данных.

Прекращение обработки персональных данных и предоставление данных о них гражданину

Установлен срок прекращения оператором обработки персональных данных по требованию субъекта персональных данных.

Субъект персональных данный вправе в любое время обратиться к оператору и потребовать прекратить обработку его персональных данных. Исключение — ситуации, которые предусмотрены п. 2 — 11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона о персональных данных (в частности, когда обработка осуществляется с согласия субъекта персональных данных).

Оператор обязан прекратить обработку в течение 10 рабочих дней с момента получения соответствующего требования. Данный срок может быть продлен на 5 рабочих дней с направлением в адрес субъекта персональных данных уведомления с указанием причин продления.

Также значительно сократились сроки предоставления оператором запрашиваемой у него информации.

Субъект персональных данных вправе получить у оператора сведения об обработке его персональных данных. По новым правилам такие сведения предоставляются в течение 10 дней после получения соответствующего запроса (вместо 30 дней — как было ранее). Аналогичный срок установлен для ответа на запрос Роскомнадзора о предоставлении информации.

Например, покупатель, который передал свои персональные данные магазину при оформлении заказа, может затребовать у этого магазина информацию о том, в каких целях и какими способами он использует персональные данные, сколько они будут обрабатываться и храниться, какие лица имеют доступ к его персональным данным и другие сведения, указанные в ст. 14 Закона о персональных данных.

В каких случаях оператор вправе обрабатывать персональные данных без согласия субъекта персональных данных?

Пункт 1 части 1 статьи 6 Закона о персональных данных устанавливает, что обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных. Случаи, при которых обработка персональных данных допускается без согласия субъекта персональных данных, предусмотрены пунктами 2-11 части 1 статьи 6 Закона о персональных данных.

К таким случаям, в частности, относится:

2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

3) обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

1) обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее – исполнение судебного акта);

4) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27. 2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;

1) обработка персональных данных, полученных в результате обезличивания персональных данных, осуществляется в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Федеральным законом от 24 апреля 2020 года N 123-ФЗ «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации — городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона «О персональных данных» и Федеральным законом от 31 июля 2020 года N 258-ФЗ «Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации», в порядке и на условиях, которые предусмотрены указанными федеральными законами;

11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

При этом, в соответствии с частью 2 статьи 6 Закона о персональных данных, особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 указанного Федерального закона. Так, обработка специальной категории персональных данных допускается без соответствующего согласия в письменной форме в случаях:

1) обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10. 1 настоящего Федерального закона;

2) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

3) обработка персональных данных осуществляется в соответствии с Федеральным законом от 25 января 2002 года N 8-ФЗ «О Всероссийской переписи населения»;

4) обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;

5) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;

6) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;

7) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

8) обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;

9) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;

10) обработка полученных в установленных законодательством Российской Федерации случаях персональных данных осуществляется органами прокуратуры в связи с осуществлением ими прокурорского надзора;

11) обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;

12) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан;

13) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о гражданстве Российской Федерации.

Обработка биометрических персональных данных (как установлено частью 2 статьи 11 Закона о персональных данных) может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, в связи с проведением обязательной государственной дактилоскопической регистрации, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации, законодательством Российской Федерации о нотариате.

  • Кто может являться оператором персональных данных?
  • В каких случаях оператор вправе осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных?
  • Каким образом можно отозвать согласие на обработку персональных данных?
  • Какие действия могут быть предприняты субъектом персональных данных при нарушениях требований законодательства Российской Федерации в области персональных данных?

Когда согласие на обработку не нужно

Определены требования к договору, который заключается с субъектом персональных данных и в связи с заключением которого обработка персональных данных может осуществляться без получения согласия. Например, согласие не нужно получать для исполнения договора с гражданином, который является (пп. 5 п. 1 ст. 6 Закона № 152-ФЗ):

  • стороной данного договора,
  • либо выгодоприобретателем по договору,
  • либо поручителем по договору.

Также не нужно получать согласие, если обработка необходима для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

Такой договор не должен:

  • ограничивать права и свободы субъекта персональных данных,
  • допускать обработку персональных данных несовершеннолетних, если иное не предусмотрено законодательством РФ,
  • содержать положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных.

Но сообщить об обработке таких персональных данных оператор обязан.

Новые требования к содержанию уведомления в Роскомнадзор

С 1 сентября для каждой цели обработки данных в уведомлении нужно будет указать:

  • категории персональных данных (общедоступные; биометрические; специальные; иные);
  • категории субъектов, персональные данные которых обрабатываются (например, работники компании; кандидаты на работу, направившие резюме при устройстве на работу; физические лица, с которыми заключены договоры гражданско-правового характера (ГПХ); клиенты; посетители и др.);
  • правовое основание обработки персональных данных (указываются соответствующие статьи, дата принятия и номер закона или иного нормативно-правового акта, регулирующего осуществляемый вид деятельности и касающегося обработки персональных данных: например, статьи 86-90 Трудового кодекса РФ; ст. 53 Федерального закона от 07.07.2003 № 126-ФЗ «О связи и др.);
  • перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных.

К действиям с персональными данными относятся, в частности: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование и др.

К способам обработки относятся: неавтоматизированная обработка персональных данных, исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой, смешанная обработка персональных данных.

Также в уведомлении нужно будет указать ФИО физического лица или наименование юридического лица, которые имеют доступ и (или) осуществляют на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах.

Если организация (физлицо) имеет доступ к такой системе (например, к государственной автоматизированной информационной системе учета древесины и сделок с ней, предусмотренной ст. 6 Лесного кодекса РФ), или по поручению оператора обрабатывает содержащиеся в данной системе персональные данные, то наименование такой организации (ФИО гражданина) должно быть отдельно указано в уведомлении.

Введены новые обязанности оператора

С 1 сентября 2022 г. оператор обязан обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы России (ГосСОПКА). Включая информирование о компьютерных инцидентах, в результате которых произошла неправомерная передача персональных данных. Порядок такого взаимодействия будет определен Роскомнадзором.

Введена дополнительная обязанность оператора по устранению допущенных нарушений при обработке персональных данных. Если установлен факт неправомерной или случайной передачи персональных данных, то оператор обязан уведомить об этом Роскомнадзор в следующие сроки:

  • в течение 24 часов — о произошедшем инциденте, его предполагаемых причинах, предполагаемом вреде, принятых мерах по установлению последствий этого инцидента. Помимо этого, оператор должен представить сведения об уполномоченным оператором лице, которое будет взаимодействовать с Роскомнадзором по факту этого инцидента;
  • в течение 72 часов — о результатах внутреннего расследования выявленного инцидента. Также следует предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии таких лиц).

Законодательство постоянно меняется. Самые важные нововведения мы регулярно обсуждаем на Круглых столах с нашими экспертами, аудиторами и налоговыми юристами компании «Правовест Аудит». Присоединяйтесь!

В каких случаях согласие на обработку может быть отозвано а обработка персональных данных сдо ржд

Передача персональных данных «за рубеж»

Установлены новые правила трансграничной передачи персональных данных (передача на территорию иностранного государства органу власти иностранного государства, иностранному юридическому или физическому лицу) (ст. 12 Закона № 152-ФЗ, вступает в силу с 01. 2023):

  • введена обязанность направлять уведомления в Роскомнадзор о намерении осуществить трансграничную передачу;
  • прописаны обязательные сведения, которые должны содержаться в таком уведомлении;
  • установлена обязанность оператора до подачи уведомления получить от органов власти иностранного государства, иностранных физических или юридических лиц, которым планируется трансграничная передача персональных данных:
    сведения о мерах, принимаемых для обеспечения защиты персональных данных,информацию о правовом регулировании иностранного государства в области персональных данных (при передаче в страны, которые не обеспечивают адекватную защиту персональных данных), контактные данные таких лиц;
  • сведения о мерах, принимаемых для обеспечения защиты персональных данных,
  • информацию о правовом регулировании иностранного государства в области персональных данных (при передаче в страны, которые не обеспечивают адекватную защиту персональных данных),
  • контактные данные таких лиц;
  • регламентируются правила и порядок запрета или ограничения Роскомнадзором такой трансграничной передачи. В частности, трансграничная передача может быть запрещена или ограничена в целях защиты основ конституционного строя РФ, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства, защиты экономических и финансовых интересов РФ и в других случаях.

В каких случаях нужно уведомить Роскомнадзор

ФИО, адрес, телефон, паспортные данные и другие сведения о физическом лице — эта информация относится к персональным данным. А организации и ИП, которым сообщают такие данные — операторы персональных данных, которые эти данные обрабатывают. Поэтому любая компания, имеющая такие данные о своих работниках, клиентах или покупателях является оператором персональных данных.

Организация или ИП вправе осуществлять обработку персональных данных физического лица с его письменного согласия либо без согласия в установленных законом случаях. Исчерпывающий перечень таких случаев содержится в п. 2—11 ч. 1 ст. 6 Закона о персональных данных.

При этом, до начала обработки персональных данных организация обязана сообщить об этом в Роскомнадзор, за исключением установленных законом случаев. С 1 сентября исключений почти не останется (ст. 22 Закона № 152 ФЗ).

Сообщать об обработке персональных данных будет необходимо даже в том случае, если организация или ИП становится обладателем информации только о фамилии, имени и отчестве физического лица. Например, при оформлении дисконтных карт клиентов. Кроме того, если раньше не требовалось подавать уведомление, когда персональные данные собирались для однократного пропуска на ее территорию, то с 1 сентября это нужно будет делать.

С 1 сентября возникает обязанность уведомлять Роскомнадзор, если организация или ИП будет заключать «обычные» договоры с физическими лицами, даже если их персональные данные не распространяются и не предоставляются третьим лицам. Например, сообщить в Роскомнадзор нужно будет интернет-магазину или организации, оказывающей услуги, в случае, когда они заключают договор с физическим лицом, и в договоре содержатся персональные данные (Ф. , адрес и другие персональные данные, необходимые для оформления заказа).

Но самый распространенный повод для уведомления — обработка персональных данных работников. ВСЕМ работодателям необходимо сообщить в Роскомнадзор об обработке персональных данных работников.

В новой редакции Закона № 152-ФЗ предусмотрено всего три ситуации, когда обрабатывать данные можно без уведомления Роскомнадзора:

  • Работа государственных информационных систем по охране безопасности и общественного порядка.
  • Обработка персональных данных без каких-либо средств автоматизации.
  • Обработка персональных данных в случаях, предусмотренных законодательством о транспортной безопасности.

Однако, данные ситуации достаточно редки и большинству компаний при сборе персональных данных придется уведомлять Роскомнадзор.

Обратите внимание! Действие Закона № 152-ФЗ распространяется также на иностранных юридических и физических лиц, если они обрабатывают персональные данные граждан РФ:

  • на основании договора или соглашения, стороной которого является гражданин России;
  • или на основании согласия такого гражданина на обработку его персональных данных.

Таким образом, по новым правилам иностранная организация или иностранный гражданин, даже если они зарегистрированы и осуществляют свою деятельность на территории иностранного государства, обязаны соблюдать все требования Закона № 152-ФЗ (вкл. получение согласия субъекта персональных данных, уведомление Роскомнадзора и т. ), если они обрабатывают персональные данные российских граждан.

Уведомить Роскомнадзор об обработке персональных по новым основаниям (ст. 22 Закона о персональных данных в новой редакции).

Все работодатели должны направить уведомление в Роскомнадзор об обработке персональных данных своих работников (в бумажном виде или по электронной форме). Тогда данная организация включается в реестр операторов персональных данных. Ранее такая обязанность в Законе о персональных данных отсутствовала. Уведомление необходимо направить и тем операторам, которые стали обязанными информировать Роскомнадзор по другим новым основаниям.

Если организация уже включена в реестр операторов, она должна не позднее 15. 2022 (п. 7 ст. 22 Закона № 152-ФЗ в новой редакции) уведомить Роскомнадзор о новой цели обработки персональных данных. Например, «Обработка в рамках трудовых отношений» или «Обработка при получении данных о ФИО». Подробно об этом мы расскажем ниже.

В случае непредставления или несвоевременного представления уведомления организация может быть привлечена к административной ответственности по ст. 7 КоАП РФ с взысканием штрафа в размере:

  • от 3 000 руб. до 5 000 руб. — для организаций;
  • от 300 руб. до 500 руб. — для должностных лиц.

Обращаем внимание! Рекомендуемая форма уведомления в настоящее время утверждена приказом Роскомнадзора от 30. 2017 N 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения» (Приложение № 1).

Организации вправе, пока Роскомнадзор не утвердит новые обязательные формы, использовать данную форму. Однако, с 1 сентября 2022 г. в ней дополнительно нужно будет указать:

  • категории персональных данных и субъектов, персональные данные которых обрабатываются, правовое основание обработки персональных данных, перечень действий с персональными данными и способы обработки персональных данных отдельно для каждой цели обработки персональных данных (ч. 3.1 ст. 22 Закона N152-ФЗ в новой редакции);
  • Ф.И.О. физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, которые содержатся в государственных и муниципальных информационных системах (п. 10.2 ч. 3 ст. 22 Закона N152-ФЗ в новой редакции).

Порядок направления уведомления содержится в Письме Роскомнадзора от 19. 2022 N 08-75348.

Внести изменения и дополнения в политику персональных данных. В данном документе нужно (п. 2 ч. 1 ст. Закона о персональных данных в новой редакции):

  • прописать категории и перечень персональных данных, категории субъектов, способы, сроки обработки и хранения, порядок уничтожения для каждой цели обработки;
  • исключить все положения, ограничивающие права субъектов персональных данных, а также полномочия и обязанности операторов, не предусмотренные законодательством РФ.

Опубликовать политику персональных данных на всех страницах сайта, на которых осуществляется сбор персональных данных (ч. 2 ст. Закона о персональных данных в новой редакции).

Внести изменения и дополнения в форму согласия на обработку персональных данных (образец согласия — здесь >>) (ч. 1 ст. 9, ч. 2 ст. 18 Закона о персональных данных в новой редакции).

Внести изменения и дополнения в форму договора поручения на обработку персональных данных (образец договора — здесь >>) (ч. 3 ст. 6 Закона о персональных данных в новой редакции).

При сборе персональных данных разъяснять гражданам юридические последствия отказа предоставить персональные данные и/или дать согласие на их обработку (если в соответствии с законом их предоставление и/или согласие на их обработку обязательно) (ч. 2 ст. 18 Закона о персональных данных в новой редакции).

Если персональные данные получены оператором не от субъекта персональных данных, то дополнительно к информации, указанной в п. 3 ст. 18 Закона № 152-ФЗ, надо предоставлять также сам перечень полученных персональных данных (п. 3 ст. 18 Закона о персональных данных в новой редакции).

Выполнять иные требования, предусмотренные Законом № 152-ФЗ с учетом внесённых изменений.

Расскажем о нововведениях более детально.

Добавить комментарий

Ваш адрес email не будет опубликован.