Новеллы законодательства о персональных данных рассмотрели в Пермской ТПП

Так, в рамках встречи с начальником отдела по защите прав субъектов персональных данных Управления Роскомнадзора по Пермскому краю Евгением Бобылевым предприниматели узнали о том, какие изменения внес в законодательство о персональных данных Федеральный закон от 14.07.2022 №266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных».

Среди основных изменений, которые необходимо учитывать бизнесу в своей работе:

• в рамках договора не могут обрабатываться избыточные персональные данные;
• отказ от бездействия гражданина (акцепт оферты);
• содержание и характер правоотношений, возникающих при исполнении договора, должен соответствовать объему дееспособности несовершеннолетних лиц;
• добровольность предоставления и дальнейшей обработки биометрии, если иное не предусмотрено законом;
• установлены требования к содержанию политики оператора применительно к каждой цели обработки персональных данных;
• доступ к политике – на каждой странице, на которой осуществляется сбор персональных данных;
• при использовании организациями на своих сайтах метрических систем, позволяющих определить уникального посетителя сайта, формировать сведения о его предпочтениях и поведении на сайте, что указывает на обработку его персональных данных, необходимо уведомлять пользователя о том, что осуществляется сбор этих сведений;
• оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора;
• субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. На сегодняшний день выделяется три вида согласия: согласие в любой доступной форме на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме; согласие в письменной форме, соответствующей ч. 4 ст. 9 ФЗ «О персональных данных», которая предусматривает случаи трансграничную передачу персональных данных, биометрические персональные данные, специальные категории персональных данных, ведение личного дела гражданского служащего, при включении персональных данных в общедоступные источники персональных данных, исключительно автоматизированная обработка персональных данных; согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения;
• изменился срок предоставления информации по запросу субъекта или уполномоченного органа по защите прав субъектов персональных данных. Сведения предоставляются в той форме, в которой направлено соответствующее обращение (запрос). В течение 10 рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления оператором в адрес субъекта или уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

Что необходимо делать бизнесу, сталкивающимся в своей работе с необходимостью обработки персональных данных?

• издать локальные акты (правила обработки персональных данных, правила рассмотрения запросов субъектов персональных данных, правила осуществления внутреннего контроля);
• осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
• доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
• организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
• Уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных;
• обеспечить организационные и технические меры (идентификация и аутентификация субъектов доступа и объектов доступа, защита машинных носителей персональных данных, регистрация событий безопасности, антивирусная защита, обнаружение вторжений, контроль (анализ) защищенности персональных данных, обеспечение целостности ИС и персональных данных, обеспечение доступности персональных данных, защита среды виртуализации, защита технических средств, защита ИС, ее средств, систем связи и передачи данных, выявление инцидентов и реагирование на них, управление конфигурацией ИС и системы защиты персональных данных).

Также во время встречи, предприниматели узнали о планах ведомства по проведению контрольных мероприятий в 2023 году.

Было отмечено, что в планы проверок включаются только объекты, отнесенные к чрезвычайно высокому и высокому риску.

Не включаются контрольные мероприятия в отношении «государственных» школ и детских садов. Вместо них в программы профилактики входят профилактические визиты.

Вовсе не включаются в планы проверок представители бизнеса из реестра аккредитованных ИТ-компаний.

Вместе с тем, если в отношении вашего бизнеса в 2023 году запланирована проверка, то вы вправе не позднее, чем за 2 месяца до даты его начала обратиться с заявлением о проведении профилактического визита.

В завершение мероприятия, его участники подчеркнули его пользу, важность полученной информации, а также выразили потребность в проведении отдельных встреч по рассмотрению исполнения требований законодательства в области персональных данных применительно к конкретным отраслям бизнеса. Сейчас Пермская ТПП ведет работу по подготовке таких встреч. Следите за нашими мероприятиями на сайте https://permtpp.ru/info/articles/ и принимайте в них участие!