Главная » Законодательство в сфере ЖКХ

Изменения в работе с персональными данными с сентября 2022 года

Законодательство в сфере ЖКХ
На чтение 10 мин. Просмотров 449 Опубликовано
Содержание
  1. Уведомление об обработке персональных данных
  2. Политика обработки персональных данных
  3. Требования к договору, в связи с заключением или исполнением которого обработка персональных данных возможна без согласия субъекта
  4. Сбор персональных данных
  5. Согласие субъекта на обработку персональных данных
  6. Обработка персональных данных третьим лицом
  7. Использование данных иностранными лицами
  8. Ответ оператора на запрос субъекта и Роскомнадзора
  9. Порядок действий оператора в случае утечки персональных данных
  10. Особенности обработки персональных данных, разрешенных для распространения
  11. Какие изменения вступят в силу с 1 марта 2023 года

Все организации работают с персональными данными. Даже если компания не работает с клиентами ‒ физическими лицами, она обрабатывает персональные данные сотрудников.

Ошибки в работе с персональными данными грозят привлечением к административной ответственности в виде больших штрафов по статье 13.11 Кодекса об Административных Правонарушениях РФ.

Федеральным законом от 14 сентября 2022 года № 266-ФЗ внесены изменения в Закон № 152-ФЗ «О персональных данных». Часть изменений вступили в силу с 1 сентября 2022 года, другие будут применяться с 1 марта 2023 года. Разберем ключевых изменения в Законе о персональных данных, которые нужно учесть в работе.

Уведомление об обработке персональных данных

Одно из самых обсуждаемых изменений с 1 сентября 2022 года касается включения операторов в реестр Роскомнадзора.

Еще с начала действия Закона № 152-ФЗ действует правило, что до начала обработки персональных данных оператор обязан уведомить Роскомнадзор о своем намерении. Это следует из статьи 22 Закона № 152-ФЗ. Ранее в данном требовании было множество исключений, например, если персональные данные обрабатываются в соответствии с трудовым законодательством или в случае обработки персональных данных клиентов, когда информация нужна исключительно для заключения и исполнения договоров.

С 1 сентября из Закона № 152-ФЗ исключают большинство случаев, когда компаниям не нужно уведомлять Роскомнадзор о намерении начать обрабатывать персональные данные.

Операторы вправе осуществлять без уведомления уполномоченного органа обработку персональных данных:

  • включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  • в случае если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;
  • обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

В остальных случаях уведомление обязательно, соответственно, после 1 сентября 2022 года практически все организации должны быть включены в реестр Роскомнадзора.

Также законотворцы скорректировали требования к содержанию уведомления. Если данные будут обрабатываться оператором в разных целях, то для каждой из них понадобится указать:

  • категорию данных и их субъектов;
  • правовое основание обработки;
  • перечень действий с данными и способы их обработки.

В законе закрепили, что формы уведомлений устанавливаются Роскомнадзором. В настоящий момент действует рекомендованная форма, согласно Приложение 1 к Методическим рекомендациям, утвержденным Приказом Роскомнадзора от 30 мая 2017 года № 94.

Порядок подачи уведомления не поменялся. Его можно подать на бумажном носителе или в виде электронного документа. Чаще всего уведомление подается через портал персональных данных на сайте Роскомнадзора.

Обратите внимание, сохранено положение о том, что в случае изменения сведений оператор обязан уведомить об этом Роскомнадзор в течение 10 рабочих дней с даты возникновения таких изменений. Если ваша организация уже включена в реестр, то рекомендуем проверить направленные сведения и скорректировать их в соответствии с требованиями законодательства. Например, в уведомлении указана цель обработки, связанная с осуществлением деятельности в соответствии с уставом и не указана цель − соблюдение требований трудового законодательства. Ранее эту цель можно было не указывать, так она попадала под исключения, но после 1 сентября информацию в уведомлении необходимо скорректировать.

Политика обработки персональных данных

Нововведения с 1 сентября затрагивают содержание и порядок работы с основным документом организации по данному направлению – политику оператора в отношении обработки персональных данных.

С 1 сентября 2022 года в соответствии со статьей 18.1 Закона № 152-ФЗ документ должен включать:

  • категории и перечень данных, категории субъектов персональных данных для каждой цели обработки;
  • способы и сроки обработки и хранения данных;
  • порядок уничтожения персональных данных.

В законе отдельно отметили, что документы по персональным данным не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на операторов не предусмотренные законодательством Российской Федерации полномочия и обязанности.

Рекомендуем пересмотреть документы по персональным данным и актуализировать их в соответствии с новыми требованиями законодательства.

Еще одно изменение затронет организации, которые собирают персональные данные пользователей в интернет. Документ по работе с персональными данными должен быть опубликован на сайте. В настоящий момент у большинства организаций документ уже опубликован таким способом. Это связано с тем, что оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных. Если же оператор, собирающий данные на сайте, обеспечивал иным образом доступ к документу, например он был размещен на информационном стенде в офисе организации, то в соответствии с новыми правилами его необходимо продублировать на сайт, где осуществляется сбор информации.

Требования к договору, в связи с заключением или исполнением которого обработка персональных данных возможна без согласия субъекта

В соответствии с пунктом 5 части 1 статьи 6 Закона № 152-ФЗ, если обработка персональных данных необходима для заключения или исполнения договора, стороной которого либо выгодоприобретателем является субъект, согласие на обработку не требуется.

Установлены новые требования к таким договорам. Документ не может содержать:

  • положения, ограничивающие права и свободы субъекта;
  • случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законом;
  • положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных.

Такие условия не будут недействительными, но при их включении в договор для обработки персональных данных будет требоваться отдельное согласие субъекта, несмотря на то что обработка будет необходима для заключения или исполнения договора.

Сбор персональных данных

Операторам запретили отказывать гражданину в услугах, если он не хочет предоставлять биометрические сведения или соглашаться на обработку персональных данных, если по закону получать согласие на нее необязательно. Этот пункт прописан в части 3 статьи 11 Закона № 152-ФЗ.

Обратите внимание, с 1 сентября 2022 года вступают в силу изменения не только в Законе о персональных данных, но и в Законе о защите прав потребителей. По новым требованиям продавец не вправе отказывать потребителю в заключении, исполнении, изменении или расторжении договора в связи с отказом потребителя предоставить персональные данные. При этом существует исключение, если обязанность предоставления такой информации предусмотрена законодательством или непосредственно связана с исполнением договора с потребителем, согласно пункту 4 статьи 16 Закона о защите прав потребителей. В случае нарушения указанных требований организация может быть привлечена к административной ответственности по части 7 статьи Кодекса об Административных Правонарушениях РФ.

Если потребитель потребует объяснить, почему из-за непредставления персональных данных ему отказали в заключении, исполнении, изменении или расторжении договора, ответить нужно в течение 7 дней, при устном запросе — незамедлительно.

Еще одно нововведение по сбору персональных данных касается ситуаций, когда информация о субъекте получена оператором от третьего лица. С 1 сентября, помимо указания источника получения информации и целей обработки, оператор должен известить субъекта о перечне полученной информации, в соответствии с пунктом 2.1 части 3 статьи 18 Закона № 152-ФЗ

Согласие субъекта на обработку персональных данных

В новой редакции Закона № 152-ФЗ отмечено, что согласие на обработку персональных данных должно быть не только конкретным, информативным и сознательным, но и предметным и однозначным, согласно части 1 статьи 9 Закона № 152-ФЗ. На настоящий момент ни в законе, ни в судебной практике нет точного определения этих понятий. Мы считаем, что таким нововведением законотворцы уточнили, что формулировки в согласии должны быть четкими, конкретными и понятными.

Рекомендуем пересмотреть формы согласий на обработку персональных данных в организации и исключить из них абстрактные формулировки.

Обработка персональных данных третьим лицом

Если оператор поручает обработку персональных данных третьему лицу, то в поручение, помимо прежних условий, согласно части 3 статьи 6 Закона № 152-ФЗ, с 1 сентября 2022 года необходимо включать:

  • перечень персональных данных;
  • условие, что при сборе персональных данных обработчик должен использовать базы данных, находящиеся на территории РФ, согласно части 5 статьи 18 Закона № 152-ФЗ;
  • обязанность обработчика об исполнении требований статьи 18.1 Закона № 152-ФЗ;
  • обязанность обработчика предоставлять по запросу оператора (в течение срока действия поручения) документы и иную информацию, подтверждающие принятие мер и соблюдение требований Закона № 152-ФЗ.

Использование данных иностранными лицами

Статья 1 Закона № 152-ФЗ дополнили частью 1.1, где отмечено, что его положения в том числе распространяются на иностранных юридических и физических лиц, которые обрабатывают персональные данные граждан Российской Федерации.

Также с 1 сентября в случае передачи иностранному юридическому или физическому лицу персональных данных для обработки ответственность несут как оператор, так и обработчик персональных данных, в соответствии с частью 6 статьи 6 Закона № 152-ФЗ.  

Ответ оператора на запрос субъекта и Роскомнадзора

Одной из обязанностей оператора является предоставление субъекту информации относительно обработки его персональных данных. При этом в законе не было определенности относительно формы ответа на запрос.

В новой редакции Закона № 152-ФЗ разъяснили порядок предоставления субъекту информации, касающейся обработки его персональных данных в части 3 статьи 14 Закона № 152-ФЗ.

Ответ предоставляется в той же форме, в которой был представлен запрос, например по электронной почте, за исключением случаев, когда субъект указывает в запросе иную форму предоставления информации. 

Сокращены сроки ответов оператора на запросы субъекта персональных данных и Роскомнадзора.

Сведения предоставляются в течение 10 рабочих дней с момента запроса, при этом срок может быть продлен, но не более чем на 5 дней и при направлении мотивированного уведомления, с указанием причин несвоевременного предоставления информации, согласно статьи 20 Закона № 152-ФЗ.

Порядок действий оператора в случае утечки персональных данных

В новой редакции Закона № 152-ФЗ подробно определен порядок действий оператора в случае установления факта неправомерной или случайной передачи персональных данных, повлекшей нарушение прав субъектов в статье 21 Закона № 152-ФЗ.

В течение 24 часов оператор должен зафиксировать произошедший инцидент и сообщить в уполномоченный орган следующую информацию:

  • факт произошедшего инцидента;
  • предполагаемые причины;
  • информацию о предполагаемом вреде, нанесенном субъектам персональных данных;
  • информацию о принятых мерах по устранению последствий соответствующего инцидента;
  • сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом.

В течение 72 часов оператор должен провести внутреннее расследование и представить в уполномоченный орган информацию о его результатах, а также сведения о лицах, действия которых стали причиной инцидента, в случае их выявления.

Особенности обработки персональных данных, разрешенных для распространения

К персональным данным, разрешенным для распространения, относится информация, на распространение которой субъектом дано отдельное согласие. Правила работы с такой информацией определены в статье 10.1 Закона № 152-ФЗ. В ней же предусмотрены исключения для органов, на которых данные правила не распространяются.

В новой редакции перечень органов расширен. Теперь требования не применяются в случае обработки персональных данных в целях выполнения возложенных законодательством РФ на государственные органы, муниципальные органы, а также на подведомственные таким органам организации функций, полномочий и обязанностей.

Какие изменения вступят в силу с 1 марта 2023 года

Ряд изменений вступит в силу с 1 марта 2023 года. Это:

1. Трансграничная передача персональных данных

Оператор перед началом трансграничной передачи персональных данных должен будет уведомить Роскомнадзор о своем намерении. Ведомство, в свою очередь, может запретить или ограничить предоставление персональных данных иностранцам, согласно статьи 12 Закона № 152-ФЗ.

2. Уведомление об обработке персональных данных

Изменяется срок уведомления Роскомназора в случае, если изменились сведения, ранее представленные в уведомлении об обработке персональных данных. Проинформировать нужно не позднее 15-го числа месяца, следующего за месяцем, в котором возникли изменения, в соответствии с частью 7 статьи 22 Закона № 152-ФЗ.

Изменения в Законе № 152-ФЗ существенно влияют на текущую работу. Необходимо провести аудит внутренних документов по данному направлению, уведомить Роскомнадзор в случае, если организация еще не состоит в реестре, учесть и применять новые требования к сбору персональных данных.

Оцените статью
Поделитесь статьёй в соц. сетях
Блог о ЖКХ компании «Технология и сервис»
Добавить комментарий

Вам также может понравиться
Инициативы ЖКХ: налоги, тарифы и реестр сетей
Депутаты выдвинули инициативу о создании единого реестра
0346
НПА ЖКХ: штрафы за теплоснабжение, проведение ОСС, капремонт
На прошедшей неделе депутаты обсудили пять законопроектов
0452
Законопроект об отмене страховых взносов с членов Совета МКД в трех чтениях приняли в РФ
Государственная Дума Российской Федерации приняла законопроект
0664
Налоговый кодекс РФ: изменения для РСО и членов Совета МКД
Депутаты Государственной Думы Российской Федерации
0520
В Росстандарте были утверждены два новых ГОСТа сферы ЖКХ
Росстандарт ведет активную работу по совершенствованию
0592
С 9 сентября 2024 года будут повышены судебные пошлины
На протяжении нескольких месяцев эксперты обсуждали
0415
1 августа вступил в силу обновленный ГОСТ по капитальному ремонту МКД
ГОСТ с обновлениями по капитальному ремонту начал действовать
0681
Новости ЖКХ за неделю: отопительный сезон, газовое оборудование, вывоз ТКО
На прошедшей неделе представители Российского экологического
0736