Новые обязанности оператора персональных данных с 1 сентября 2022 года

[BOOX]

Законодатели в очередной раз ужесточили требования к операторам персональных данных. Рассказываем, что нового появилось в требованиях и что нужно сделать в связи с этим.


По оценке InfoWatch количество утечек персональных данных в первом полугодии 2022 года выросло по сравнению с аналогичным периодом 2021 года на 45,9%.

Чтобы защитить право физического лица на неприкосновенность частной жизни, личную и семейную тайну, законодатели в очередной раз ужесточили требования к операторам персональных данных. С 1 сентября 2022 года у них появились новые обязанности, чтобы исполнить которые нужно выполнить ряд действий.

[H2]Дополнить Политику обработки персональных данных и локальные акты[/H2]

Оператор — юридическое лицо обязан разработать собственную Политику в отношении обработки персональных данных (ПД) и другие локальные акты в этой сфере. Этот документ должен быть доступен неограниченному кругу лиц.

Например, если у оператора есть свой сайт, то он публикует Политику на нём. Смысл в том, чтобы любой гражданин как субъект персональных данных всегда мог ознакомиться с её содержанием.

С 1 сентября 2022 года Политика прямо привязана к целям обработки персональных данных.

По закону от 27.07.2006 № 152-ФЗ оператор может работать только с той личной информацией граждан, которая:

• нужна ему для выполнения обязательств перед субъектом ПД — например, по договору оказания услуг, трудовому договору;
  
  
• необходима по требованиям законодательства — например, для подачи отчётности по пенсионному страхованию, налогам.

На основании своих видов деятельности оператор формулирует конкретные цели обработки ПД. По каждой из них он указывает в Политике категории и перечень персональных данных, категории субъектов, способы и сроки действий с личной информацией.

В связи с новшествами все операторы должны:

1. Изменить Политику с учётом п. 2 ч. 1 ст. 18.1 закона № 152-ФЗ. Разместить новый документ в открытом доступе.
   
   
2. Составить реестр персональных данных, сгруппированный по целям обработки.

Политику и локальные акты издают только юрлица. Но все операторы, включая ИП и самозанятых, должны сообщать по запросу субъекту ПД сведения из ч. 7 ст. 14 закона № 152-ФЗ, в том числе:

• подтверждение факта обработки ПД оператором;
  
  
• правовые основания и цели обработки персональных данных;
  
  
• применяемые оператором способы обработки ПД;
  
  
• наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
  
  
• обрабатываемые ПД, относящиеся к соответствующему субъекту ПД, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  
  
• сроки обработки персональных данных, в том числе сроки их хранения.

Чтобы было удобнее это делать, имеет смысл разработать документ, аналогичный Политике обработке ПД, всем операторам. Если ОПД не предоставит сведения по запросу, ему грозит штраф по п. 4 ст. 13.11 КоАП: до 30 000 рублей для ИП и до 80 000 рублей для юрлиц.

Срок ответа на обращение гражданина ограничен. Кроме того, п. 3 ст. 13.11 КоАП предусматривает штраф для ИП за необеспечение неограниченного доступа к сведениям о реализуемых требованиях к защите ПД от 20 000 до 30 000 рублей.

Источник