С 1 сентября - важные изменения в законодательстве о персональных данных
Федеральный закон от 14 июля 2022 г. N 266-ФЗ
1 сентября 2022 года вступят в силу июльские поправки в Закон о персональных данных, направленные на повышение защищенности персональных данных граждан от несанкционированного доступа неограниченного круга лиц, а также на усиление государственного контроля в указанной сфере.
Одно из главных изменений - уведомление в Роскомнадзор об обработке персональных данных (далее также ПД) теперь надо будет подавать практически во всех случаях обработки ПД. Перечень случаев, когда обработка возможна без такого уведомления, с 01.09.2022 существенно сократится.
В частности, сейчас без уведомления допускается осуществлять обработку персональных данных:
- обрабатываемых в соответствии с трудовым законодательством;
- полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, притом что эти сведения не распространяются, не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
-включающих в себя только фамилии, имена и отчества физических лиц;
- необходимых для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
- и в некоторых иных случаях, перечень которых приведен в ч. 2 ст. 22 Закона о персональных данных.
С 1 сентября 2022 г. при обработке персональных данных в перечисленных случаях нужно будет сообщать в Роскомнадзор до начала обработки оператором персональных данных (о том, как направить уведомление, см. письмо Роскомнадзора от 19.08.2022 N 08-75348).
В числе исключений останутся, например, случаи, когда оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации.
Кроме того, поправками закреплена обязательность форм уведомлений о начале и прекращении обработки ПД, а также об изменении ранее представленных сведений, которые устанавливаются Роскомнадзором (см. проект соответствующего приказа ведомства). Как отмечается в вышеупомянутом письме ведомства, после издания приказа об утверждении новых форм оператор ПД вправе направить в Роскомнадзор письмо для внесения изменений в сведения об операторе ПД в Реестре.