Одно из главных изменений –уведомление в Роскомнадзор об обработке персональных данных (далее - ПД) теперь надо будет подавать практически во всех случаях обработки ПД. Перечень случаев, когда обработка возможна без такого уведомления, с 1 сентября 2022 года существенно сократится.
В частности, сейчас без уведомления допускается осуществлять обработку персональных данных:
- обрабатываемых в соответствии с трудовым законодательством;
- полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, притом, что эти сведения не распространяются, не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
- включающих в себя только фамилии, имена и отчества физических лиц;
- необходимых для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
- и в некоторых иных случаях, перечень которых приведен в ч. 2 ст. 22 Закона о персональных данных.
В числе исключений останутся, например, случаи, когда оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации.
Кроме того, поправками закреплена обязательность форм уведомлений о начале и прекращении обработки ПД, а также об изменении ранее представленных сведений, которые устанавливаются Роскомнадзором. После издания приказа об утверждении новых форм оператор ПД вправе направить в Роскомнадзор письмо для внесения изменений в сведения об операторе ПД в Реестре.
Помимо этого, поправками:
- установлена обязанность операторов персональных данных обеспечивать взаимодействие с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА), включая информирование о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПД;
- введены дополнительные обязанности оператора по устранению нарушений законодательства, допущенных при обработке ПД, по уточнению, блокированию и уничтожению ПД;
- скорректированы требования к согласию на обработку ПД (ранее от такого согласия требовалось быть конкретным, информированным и сознательным. Теперь оно должно быть еще и предметным, а также однозначным);
- уточнены требования к содержанию документов, определяющих политику оператора в отношении обработки ПД, локальных актов по вопросам обработки ПД.
Уточнены положения, касающиеся обработки биометрических персональных данных. Установлено, что предоставление биометрических персональных данных не может быть обязательным, за исключением ряда случаев, указанных напрямую в Федеральном законе № 152-ФЗ. Кроме того, установлен прямой запрет операторам на отказ гражданам в обслуживании при отказе субъекта персональных данных предоставить биометрические персональные данные и (или) дать согласие на обработку персональных данных, если такое предоставление не является обязательным.