Оператор персональных данных – это государственный орган, муниципальный орган, юридическое или физическое лицо (в том числе ИП, самозанятый), которые самостоятельно или совместно с другими лицами организуют и (или) осуществляют обработку персональных данных, определяют цели такой обработки, состав подлежащих обработке персональных данных, а также перечень совершаемых с ними действий (операций) (п. 2 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ (ред. от 02.07.2021) «О персональных данных»). Например, организация является оператором персональных данных в отношении своих сотрудников и иных физлиц, чьи данные получает.
Уведомлять Роскомнадзор о планах обрабатывать личную информацию придется и в случаях, когда эти сведения:
- относятся к работникам;
- принадлежат контрагентам оператора, а он использует перронные данные, чтобы исполнять договоры или заключать новые соглашения с теми же гражданами (при этом сведения не распространяют и не передают третьим лицам без согласия);
- нужны для однократного пропуска гражданина на территорию оператора или для аналогичных целей.
Сейчас в этих и некоторых других случаях извещать ведомство не нужно.
Оператор должен до начала обработки личных сведений, которые он получил от другого источника, перечислить такие данные их субъекту.
Нужно будет работать с госсистемой обнаружения, предупреждения и ликвидации последствий кибератак на информресурсы РФ (см. ст. 5 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»). В частности, через нее придется сообщать об инцидентах, из-за которых произошла утечка личных сведений.
Операторам запретили отказывать физлицу в услугах, если оно не хочет предоставлять биометрические сведения или соглашаться на обработку персональные данных, если по закону получать согласие на нее необязательно.
Изменили ряд сроков. Так, с 30 дней до 10 рабочих дней сократили время на то, чтобы оператор сообщил Роскомнадзору по его запросу нужные данные.
Поправки вступят в силу 1 сентября 2022 г., кроме отдельных положений, которые начнут применять с 1 марта 2023 г.
Законодательство РФ:
- Федеральный закон от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности»
- Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»
- В Приложении № 1 к Методическим рекомендациям, утвержденными Приказом Роскомнадзора от 30.05.2017 № 94, дана форма уведомления.
Начать дискуссию