Изменения в законодательстве о персональных данных с 15.11.2021

Персональные данные -это любая информация, относящаяся к идентификационному физическому лицу или физическому лицу, которое может быть идентифицировано на основании такой информации.

Базовым условием совершения каких-либо действий с персональными данными является получение согласия гражданина, которое должно быть свободным, конкретным и информированным. Согласие может быть дано в письменной форме, в форме электронного документа (ЭЦП), в другой электронной форме (путем введения кода, СМС, путем проставления соответствующей отметки на сайте).

Законом также определен перечень случаев, когда сбор, обработка, распространение, предоставление персональных данных допускается без согласия гражданина (ст.6 Закона о защите персональных данных):

• оформлении трудовых отношений и в процессе работы у нанимателя;
• ведении персонифицированного учета застрахованных лиц;
• назначении и выплаты пенсий и пособий;
• начислении платы за ЖКУ;
• обращении к нотариусу за совершением нотариальных действий;
• рассмотрении уголовных и административных дел;
• исполнении судебных постановлений и других исполнительных документов;
• проведении выборов и референдумов;
• в научных целях и при сборе и обработке статистических данных;
• защите жизни, здоровья, жизненно важных интересов ваших или других лиц, если получение согласия невозможно;
• в других случаях, прямо предусмотренных законодательством.

Ответственность в сфере защиты персональных данных

• с 1 марта 2021 года ст.23.7 КоАП введена административная ответственность за нарушение законодательства о защите персональных данных, а именно за незаконные сбор, обработку, хранение или предоставление персональных данных, нарушение прав субъекта данных, распространение персональных данных, несоблюдение мер обеспечения защиты персональных данных;
• с 19 июня 2021 года УК предусмотрена уголовная ответственность за нарушение законодательства о персональных данных).

Алгоритм действий оператора по защите персональных данных физических лиц, в отношении которых осуществляется обработка персональных данных.

1.  Назначение лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных.

2.  Внесение изменений в ЛПА (штатное расписание, должностные инструкции, трудовые договоры) в части прописания обязанности по контролю за обработкой персональных данных.

3. Систематизация обработок персональных данных (перечня персональных данных, которые обрабатываются в организации), их потоков, целей и правовых оснований, определение сроков хранения обрабатываемых персональных данных.

4. Разработка и утверждение необходимых ЛПА по защите персональных данных: 

• политика организации в отношении обработки персональных данных;
• положение о порядке обработки персональных данных;
• формы согласия, приказы, должностные инструкции, реестр, журналы учета и т.д.

5. Установление порядка доступа к персональным данным, в т.ч. обрабатываемым в автоматизированных системах.

6. Определение перечня лиц, имеющих допуск к обработке персональных данных.

7. Обеспечение условий по физической защите персональных данных (определение мест хранения, допуска и т.п.), и их обработке

8. Определение уполномоченных лиц для заключения договоров на обработку персональных данных по поручению организации, заключение договоров с ними либо внесение изменений в договоры.

9. Обучение работников, имеющих допуск к обработке персональных данных, согласно законодательству, в том числе ознакомление их с НПА, ЛПА в сфере защиты персональных данных.

10.Обеспечение технической и криптографической защиты персональных данных в организациях, на которых возложена обязанность по защите информации.

11. Минимизация, удаление, блокирование и обезличивание персональных данных.

Учебный центр современных знаний «БизнесИнфоПраво» готов прийти вам на помощь организовав по данной тематике онлайн-семинары  или корпоративные вебинары с участием ведущих экспертов в данной сфере, в процессе обучения будут рассмотрены только актуальные вопросы из практики, по итогам онлайн-семинаров на электронную почту участников будут высланы различные аналитические материалы по данной теме и примеры документов, которые помогут быстрее сориентироваться в новшествах и применить новации в работе в короткие сроки.

Поскольку законодательство обязало всех операторов проводить обучение работников, кто непосредственно обрабатывает персональные данные, мы ждем ваших сотрудников на обучающих мероприятиях, по итогам которых будут выданы справки об обучении государственного образца.