Главная
На кого распространяется фз 152: «На кого распространяются требования ФЗ-152 «О персональных данных»?» — Яндекс Кью

На кого распространяется фз 152: «На кого распространяются требования ФЗ-152 «О персональных данных»?» — Яндекс Кью

Содержание

«На кого распространяются требования ФЗ-152 «О персональных данных»?» — Яндекс Кью

Популярное

Сообщества

152-фз

Анонимный вопрос

  ·

29,6 K

ОтветитьУточнить

Роман Бирюков

8

Начальник отдела обеспечения комплексной безопасности управления социальной политики…  · 11 сент 2020

На всех юридических и физических лиц (граждан), на которых распространяется законодательство России, а также на государственные органы и органы местного самоуправления. Это если коротко. На королеву Англии 152-ФЗ не распространяется до тех пор, пока данное физическое лицо не станет гражданином России, собственно как и на любое GOOOGLE Ltd. или Inc. до тех пор пока в России не зарегистрировано какое-либо ООО или АО. 🙂 Юрисдикция видите ли имеет границы.

Комментировать ответ…Комментировать…

Контур Эльба

209

Контур Эльба — онлайн-бухгалтерия для ИП и ООО на УСН, ЕНВД или патенте.   · 9 июл 2020  · e-kontur.ru

Отвечает

Макс Б.

Требования закона распространяются: — на работодателей, потому что они хранят и обрабатывают личные данные сотрудников; — владельцев сайтов, где есть форма обратной связи, личный кабинет и другие поля для данных пользователя; — на предпринимателей, которые заключают договоры с клиентами, выдают бонусные карты, «подписывают» клиентов на рассылки, спецпредложения и акции…. Читать далее

Онлайн-бухгалтерия для ИП и ООО. Готовит отчётность и считает налоги за вас 💙

Перейти на e-kontur.ru

Комментировать ответ…Комментировать…

Нубес Nubes

-1

ИТ-компания Нубес — провайдер облачных сервисов  · 26 мая

Закон ФЗ-152 «О персональных данных» относится к органам власти, юридическим и физическим лицам, которые обрабатывают персональные данные: а) собирают и записывают, б) систематизируют, накапливают и хранят, в) обновляют, изменяют, извлекают и используют, д) передают, обезличивают, блокируют и удаляют. Это все ИП и ООО, являющиеся работодателями. Муниципальные… Читать далее

Комментировать ответ…Комментировать…

Tudor

9,3 K

Коротко о себе : моим родителям не стыдно.  · 30 июл 2018

В первую очередь касается медицинский учреждений, сфер кредитно-финансовых и страховых. Сюда же попадают и операторы сотовой связи, турагенства и агенства по подбору персонала, риэлторы.

Комментировать ответ…Комментировать…

Вы знаете ответ на этот вопрос?

Поделитесь своим опытом и знаниями

Войти и ответить на вопрос

1 ответ скрыто(Почему?)

Разъяснения к Федеральному закону о внесении изменений в ФЗ “О персональных данных” (№ 266 от 14.07.2022)

Федеральный закон № 266-ФЗ от 14 июля 2022 вносит множество изменений в основной закон о работе с персональными данными № 152-ФЗ. Изменения касаются всех участников процесса — от операторов и сторонних обработчиков персональных данных (ПДн) до регуляторов и органов государственной власти.

Закон № 266-ФЗ о внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности» (далее № 266-ФЗ) получился достаточно объёмным — 46 страниц. При этом одни нововведения радикально меняют правила игры для компаний, другая часть имеет второстепенный характер и не потребует существенных изменений в процессах, третья — так или иначе уже вошла в практику, но была зафиксирована «в бумаге». В этой статье мы проанализируем пункты, которые абсолютно точно должны учитывать компании в своей деятельности. Их не очень много, но общую картину подходов к защите персональных данных они поменяли достаточно заметно.

1. Необходимо детализировать перечень персональных данных

Одно из первых изменений в законе касается состава персональных данных, которые оператор получает от субъекта и передаёт на обработку третьим лицам. Если раньше закон требовал указывать только действия, которые будут совершаться с данными, и цели обработки, то теперь нужно чётко прописывать перечень данных.

Это касается и поручений на обработку ПДн, которые оператор даёт третьим лицам, и прямого взаимодействия с субъектом данных — ему теперь нужно сообщить состав обрабатываемых персональных данных, если они получены не от самого субъекта.

Это достаточно логичное нововведение — субъект должен быть в курсе, с какими именно его данными проводятся операции. В рамках нашей проектной практики мы всегда рекомендовали заказчикам указывать такой перечень, теперь это нужно делать в обязательном порядке.

2. Роскомнадзор должен знать обо всех случаях обработки ПДн

Это коснётся практически всех — меняется логика уведомлений Роскомнадзора, которые раньше во многих случаях можно было не отправлять. Самые частые кейсы — при обработке данных сотрудников и при заключении с субъектом договора, который не предусматривает распространение и передачу персональных данных третьим лицам.

Кроме того, предусматривались случаи, когда ПДн включали в себя только ФИО субъекта или оператор собирал данные для организации однократного пропуска на территорию оператора и др.

Всё это теперь исключается из закона. Новая редакция оставляет всего два сценария, когда обрабатывать данные можно без ведома Роскомнадзора:

  1. Работа государственных информационных систем по охране безопасности и общественного порядка.
  2. Обработка ПДн без каких-либо средств автоматизации.

Эти ситуации такие редкие, что их можно опустить. Абсолютному большинству компаний следует подготовить новые уведомления.

3. Логика документации исходит от целей обработки

Это очень важное нововведение, которое потребует значительных изменений у многих организаций. Теперь, когда оператор разрабатывает документы, определяющие его политику в отношении обработки персональных данных, например, локальные акты или организационно-распорядительную документацию, то для каждой цели обработки следует перечислять целый набор сведений — от перечня ПДн и сроков их обработки до порядка их уничтожения.

Полный список сведений достаточно обширный и приведён в пункте 10 № 266-ФЗ.

Мы же можем только порадоваться за своих заказчиков, поскольку iTPROTECT уже 5 лет разрабатывает документы именно по таким «лекалам». Другим компаниям следует внимательно пересмотреть свою документацию и удостовериться, что она расписана в соответствии с целями обработки ПДн. Наша практика показывает, что в большинстве случаев документация формируется в связи с субъектами или же всё отдельно — субъекты, цели, действия. Теперь Роскомнадзор, инициатор изменений, явно указал, какой подход является предпочтительным и верным.

Кстати, это касается и уведомлений из предыдущего пункта. Они теперь тоже зависят от целей — категории персональных данных и субъектов, правовые основания обработки, перечень действий с ПДн в документ включать не нужно. Здесь тоже есть много деталей, которые можно почитать в пункте 14 (б) № 266-ФЗ.

4. Последствия нарушений и борьба с утечками

Новый закон устанавливает порядок оценки негативных последствий, которые могут наступить для субъектов ПДн из-за нарушений № 152-ФЗ «О персональных данных» от 27. 07.2006. Раньше единого взгляда на такую оценку не было, операторы с интеграторами разрабатывали собственные методы. Теперь в законе прописано, что проводить её нужно по требованиям Роскомнадзора. Конкретные требования пока не анонсированы — будем следить за новостями от регулятора.

В пункте 11 мы видим воплощение в реальность давних ожиданий всего рынка. Теперь оператор персональных данных обязан обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). При этом необязательно интегрироваться технически — как нам сообщает регламент самой ГосСОПКА, сообщить об инциденте можно и по телефону, и по почте. Порядок передачи информации в дальнейшем определят совместно федеральные органы исполнительной власти и уполномоченные органы безопасности. Возможность введения штрафов пока только обсуждается, но в любом случае всем операторам ПДн лучше обновить свои инструкции для ответственных за обработку персональных данных лиц.

Что считать инцидентом, а что нет, — этот вопрос пока открыт, так как здесь ситуация может сильно отличаться от одной компании к другой.

Также, наконец, произошло то, о чём много говорили в последние месяцы: необходимо сообщать Роскомнадзору обо всех утечках в течение 24 часов. А в течение 72 часов оператор персональных данных обязан уведомить о результатах внутреннего расследования по инциденту и виновниках утечки, если таковые есть. Последствия пока не обозначены, но почти наверняка будут определены позднее.

Также стоит отметить, что перед регулятором нужно отчитываться об устранении фактов противоправной обработки ПДн. Этот момент тоже необходимо отразить в инструкциях.

5. Ужесточается трансграничная обработка ПДн

Седьмой пункт № 266-ФЗ кардинально меняет вопрос регулирования передачи персональных данных за границу, и эти обновления нужно внимательно изучить всем компаниям, которые в своих процессах сталкиваются с такими задачами. Здесь много важных деталей. Например, что оператор может / не может / должен делать до начала обработки ПДн или как Роскомнадзор решает, куда можно / нельзя передавать данные.

Например, добавляется обязанность оператора запрашивать у иностранных обработчиков персданных сведения об их защите. Также нужно отдельно уведомлять Роскомнадзор о трансграничной обработке ПДн. Это самостоятельный документ, выступает в качестве дополнения к стандартному оповещению о самом факте обработки, в нём необходимо прописывать даты обработки персданных и оценку условий по сохранению конфиденциальности данных за рубежом. Форму документа, обязанности ответственного, например, по подготовке и отправке его регулятору и другие, связанные с трансграничной передачей данных, тоже нужно прописывать в организационных документах.

Здесь же отмечу, что в законе появляется новая шестая статья: если оператор поручает обработку иностранным физическим и юридическим лицам, эти третьи лица тоже несут ответственность перед субъектом. Какие последствия эта ответственность понесёт для иностранных юрлиц, пока непонятно, ведь федеральный закон не является трансграничным и не распространяется на другие страны. Но тем не менее, такая норма теперь есть.

6. Взаимодействие со сторонними обработчиками ПДн

Детализированы меры, которые оператор может принимать в отношении третьих лиц, которым он передаёт персональные данные — появляется утверждённая законом возможность убедиться, что данные остаются в безопасности при обработке. Теперь такие организации обязаны в течение периода работы с ПДн по запросу оператора «предоставлять документы и иную информацию» для подтверждения того, что меры по защите действительно были приняты. Это касается и иностранных лиц из предыдущего пункта.

В прежней редакции № 152-ФЗ «О персональных данных» устанавливалась следующая цепочка ответственности: оператор отвечает за безопасность данных перед субъектом, а сторонние обработчики — перед оператором. Теперь же сказано, что сторонний разработчик обязан обеспечивать безопасность ПДн при обработке, и что он должен уведомлять оператора о случаях неправомерной обработки данных.

Основной вывод для компаний — ранее составленные поручения на обработку персданных нужно скорректировать.

7. Срок ответа субъектам ПДн становится меньше

Пункт 8 устанавливает, насколько быстро нужно ответить субъекту ПДн на запрос по поводу «уточнения его персональных данных, их блокирования или уничтожения». Теперь отреагировать на них необходимо в течение 10 рабочих дней (до этого статья 20 № 152-ФЗ позволяла готовить ответ в течение 30 дней). При этом уточняется, что обозначенный срок можно продлить, направив «мотивированное уведомление с указанием причины». Ещё одно небольшое нововведение заключается в том, что субъект теперь может, помимо прочего, запрашивать информацию о способах исполнения оператором своих обязанностей.

В своей проектной практике мы всегда готовим для заказчиков отдельный регламент работы с субъектами персональных данных, в котором прописывается порядок ответов на запросы и предоставления такой информации. Соответственно, при наличии подобных регламентов в организации — необходима их корректировка.

8. Изменение работы с биометрическими данными 

Пункт под номером 6 дополняет статью 11 № 152-ФЗ, которая касается биометрических данных. Теперь оператор не вправе отказывать в обслуживании субъекту, если тот отказывается предоставлять свою биометрию.

На это нововведение стоит обратить особое внимание банкам, которые используют в своих приложениях вход по отпечатку пальца или FaceID. Если клиент не желает это использовать, отказать в услугах нельзя.

К тому же нередко биометрические данные собираются для контроля доступа, например, на территорию предприятия — теперь заставлять сотрудников сдавать свои отпечатки пальцев или создавать 3D-модель лица официально нельзя. На практике этот момент можно с легкостью обойти, поэтому данный пункт можно отнести к не самым существенным. Однако на уровне согласия на обработку персданных лучше прописывать необязательность сдачи биометрических данных. Если в вашей организации этот момент уже учтён, то и документы менять не придётся.

Когда мы начнём жить по-новому

Изменения вступают в силу не сразу и не одновременно. Изменения в регулировании трансграничной передачи ПДн, сроках подтверждения факта удаления ПДн, введение новых механизмов уведомлений, оценки последствий по методике Роскомнадзора начнут действовать с 1 марта 2023 года. Другие нормы заработают уже 1 сентября. Подробности о том, когда какие пункты станут актуальными — написано в статье 6 этого закона.

Подводя итог, можно отметить, что времени остаётся не очень много, но и работа тоже предстоит вполне подъёмная. По своему опыту могу сказать, что значительная часть требований так или иначе уже была реализована в практических процессах. По крайней мере, мы в своих проектах зачастую уже работали по логике, которая теперь закреплена законодательно.

Что нужно знать о Федеральном законе Российской Федерации № 152-ФЗ

В июле 2006 г. Государственная Дума Российской Федерации приняла Федеральный закон Российской Федерации № 152-ФЗ. Это был один из немногих законов о защите данных, действовавших до принятия Общего регламента по защите данных. (GDPR) вступил в силу.

После того, как закон был принят, в него было внесено несколько поправок, чтобы гарантировать, что закон хорошо подходит для решения текущих технологических проблем и проблем с конфиденциальностью данных. Одна из поправок касается требования о локализации данных, которое требует хранения и хранения данных, принадлежащих российским гражданам, в базах данных на территории России. Это по-прежнему позволяет передавать данные через границы, если выполняются условия трансграничной передачи.

В соответствии с последним изменением 266-ФЗ, вступающим в силу с 1 сентября 2022 года, обработка персональных данных посредством договоров между субъектом данных и оператором возможна только при отсутствии в договоре условий, ограничивающих права и свободы субъектов данных.

Вот все важные вещи, которые организация должна знать для соблюдения закона:

1. Кто должен соблюдать закон

Вот какие данные охватываются, а также географическая юрисдикция этого закона:

а. Сфера применения материала

Действие настоящего Закона распространяется на федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации, иные государственные органы, юридические лица или иные организации, осуществляющие сбор и обработку данных в коммерческих целях.

Однако этот закон не применяется в следующих случаях:

  • Личные данные, собранные физическими лицами для личных и семейных целей;
  • Дело Государственного архива Российской Федерации;
  • Сбор персональных данных, составляющих государственную тайну;
  • Деятельность судов в Российской Федерации в соответствии с Федеральным законом № 152-ФЗ.

б. Территориальный охват

Действие закона распространяется на любое юридическое лицо, включая любое иностранное лицо с юридическим присутствием в России, которое осуществляет сбор персональных данных в России. Закон также распространяется на лиц, не учрежденных в Российской Федерации, если они целенаправленно направляют свою деятельность в сторону Российской Федерации и извлекают выгоду из этой деятельности.

Согласно последним изменениям в законе 266-ФЗ действие закона распространяется также на обработку персональных данных граждан Российской Федерации, осуществляемую иностранными юридическими или иностранными физическими лицами на основании договора, сторонами которого являются граждане Российской Федерации. или на основании согласия граждан России.

2. Обязанности организаций

В соответствии с Федеральным законом № 152-ФЗ все операторы и контролеры данных имеют определенные обязательства перед субъектами данных, данные которых они собирают. Некоторые из этих обязательств и обязанностей включают следующее:

Требования к законному основанию

Оператор может приступить к обработке данных только на одном из следующих законных оснований:

  • Обработка данных осуществляется с согласия субъекта данных;
  • Обработка Данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом;
  • Обработка данных осуществляется в связи с привлечением лица к участию в конституционном, гражданском, административном, уголовном судопроизводстве, рассмотрении дел в арбитражных судах;
  • Обработка данных необходима для исполнения полномочий федеральных органов;
  • Обработка данных необходима для исполнения судебного акта;
  • Обработка данных требуется для обработки договора, по которому субъект данных является выгодоприобретателем или поручителем;
  • Обработка данных необходима для профессиональной деятельности журналиста и/или законной деятельности средств массовой информации или в целях научной, литературной или иной творческой деятельности при условии, что она не ущемляет права и свободы субъекта данных ;
  • Обработка данных требуется для статистических и исследовательских целей;
  • Обработка данных необходима для защиты жизненно важных интересов субъекта данных, если невозможно получить его согласие;
  • Обработка данных для публичного доступа, предоставляемая субъектом данных по его запросу;
  • Обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральными законами

Требования согласия

Согласие является одним из основных правовых оснований для обработки данных. Любое согласие, полученное от субъекта данных, должно быть:

  • Бесплатно (свободная воля субъекта данных)
  • Конкретное (конкретное и отдельное согласие для конкретных и отдельных целей обработки данных, например, согласие на публично распространяемые данные должно быть получено отдельно)
  • Информирован (перед обработкой необходимо уведомление об обработке персональных данных)
  • Добросовестный
  • Основная (внесена недавней поправкой к Закону № 266-ФЗ)
  • Однозначный (введено недавним изменением Закона № 266-ФЗ)

Субъекты данных имеют право отозвать свое согласие в любое время. В таком случае контролер/обработчик данных должен прекратить обработку персональных данных или организовать ее прекращение, и если хранение персональных данных больше не требуется для целей обработки данных, контролеры данных должны уничтожить или обеспечить их уничтожения в срок, не превышающий десяти рабочих дней с даты получения указанного запроса об отзыве данных.

Письменное согласие требуется для следующих действий по обработке данных:

  • Трансграничная передача данных из России в страны, не имеющие решения о достаточности;
  • Обработка конфиденциальных персональных данных;
  • Обработка биометрических персональных данных;
  • Обработка персональных данных для автоматизированного принятия решений;
  • Обработка или передача данных сотрудников третьим лицам;

В марте 2021 года в Федеральный закон № 152-ФЗ были внесены дополнительные изменения, которые ввели новые требования о согласии на «публично распространяемые данные». Это особенно влияет на деятельность организаций, которые распространяют или распространяют данные субъектов данных среди неограниченного числа лиц, например, размещая такие данные на общедоступном веб-сайте.

Таким образом, на эти организации распространяются следующие обязательства по согласию, когда речь идет о таких «публично распространяемых данных»:

  • Такое согласие необходимо запрашивать отдельно;
  • Контроллеры/обработчики данных должны позволять субъекту данных выбирать категории персональных данных, которые они разрешают распространять;
  • Молчание/бездействие со стороны субъекта данных не является эквивалентом согласия на обработку персональных данных;
  • Субъект данных может запросить ограничения на передачу своих персональных данных. Данные ограничения не распространяются на получение третьими лицами доступа к их персональным данным или на обработку данных, осуществляемую в государственных, общественных и иных публичных интересах;
  • Субъект данных может отозвать свое согласие в любое время, после чего любая передача его персональных данных должна быть прекращена.

Наконец, контролер/обработчик данных должен получить прямо выраженное согласие пользователя, прежде чем отправлять ему любые прямые маркетинговые сообщения. Если пользователь отменяет свое согласие на получение таких сообщений, контроллер/обработчик данных должен немедленно прекратить обработку своих данных.

Поскольку лицо моложе 18 лет не может юридически дать согласие на какую-либо форму обработки данных, согласие должно быть получено от законного опекуна или родительского органа.

Требования безопасности

Закон гласит, что оператор должен принимать необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных.

В соответствии с поправками к закону 266-ФЗ контролеры данных также обязаны обеспечивать принятие операторами данных необходимых мер для защиты персональных данных и обеспечения конфиденциальности.

Требования к уведомлению о нарушении данных

С 1 сентября 2022 года операторы данных должны уведомлять Роскомнадзор о нарушениях безопасности в отношении персональных данных, если инцидент привел к незаконной или случайной передаче персональных данных. Передача персональных данных означает предоставление, распространение или доступ к данным.

  • В случае незаконной или случайной передачи данных уведомление должно быть сделано в течение 24 часов с момента обнаружения инцидента. Уведомление должно как минимум содержать информацию о предполагаемых причинах, которые привели к нарушению прав субъектов данных, предполагаемом вреде и мерах по его устранению.
  • В течение 72 часов должно быть сделано уведомление о результатах внутреннего расследования выявленного инцидента и любой информации о лицах, чьи действия привели к инциденту.

Требование к сотруднику по защите данных

Организации должны нанимать сотрудника по защите данных (DPO) в следующих случаях:

  • Обработка данных осуществляется государственным органом;
  • Характер обработки данных, осуществляемой обработчиком/контролером данных, требует крупномасштабного мониторинга субъектов данных;
  • Процессор/контролер данных собирает большое количество данных специальных категорий;
  • В организации работает определенное количество работников на территории Российской Федерации.

Несмотря на отсутствие дополнительных критериев, связанных с приемом на работу сотрудника по защите данных, настоятельно рекомендуется, чтобы сотрудник по защите данных организации хорошо разбирался в Федеральном законе № 152-ФЗ, чтобы обеспечить надлежащее применение всех его положений и поправок к нему в организации. .

Оценка воздействия на защиту данных

В законодательстве нет явных требований к оценке воздействия на защиту данных. Однако закон обязывает всех операторов принимать соответствующие меры для оценки эффективности мер, принятых для защиты собранных персональных данных.

Требования к трансграничной передаче данных

Передача данных за пределы России в страны, входящие в Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Страсбургская конвенция), и другие страны, предоставляющие адекватные гарантии защиты данных в соответствии с разрешены Роскомнадзором.

Регулирующий орган Роскомнадзор отвечает за утверждение списка стран, обеспечивающих надлежащую защиту данных, несмотря на то, что они не являются участниками Страсбургской конвенции. Эти страны включают Австралию, Габонскую Республику, Израиль, Катар, Канаду, Малайзию, Монголию, Бангладеш, Новую Зеландию, Анголу, Беларусь, Бенин, Замбию, Казахстан, Коста-Рику, Корею, Мали, Нигер, Перу, Сингапур, Таджикистан, Узбекистан, Чад, Вьетнам, Республика Того, Бразилия, Нигерия, Южная Африка и Япония.

Передача данных в страны, которые либо не являются участниками Страсбургской конвенции, либо не одобрены регулирующим органом как обеспечивающие адекватную защиту, может осуществляться на одном из следующих оснований:

  • Получено письменное согласие субъекта данных
  • Передача данных предусмотрена международными договорами Российской Федерации
  • Передача данных предусмотрена федеральными законами в целях защиты конституционного строя, обороны страны и безопасности государства или для обеспечения безопасной эксплуатации транспортного комплекса
  • Передача данных предназначена для исполнения договора, стороной которого является субъект данных
  • Передача данных осуществляется для защиты жизненно важных интересов субъекта данных или других лиц, и невозможно получить их согласие

Однако любые трансграничные перемещения могут быть запрещены или ограничены в целях защиты основ конституционного строя Российской Федерации, нравственности и здоровья населения, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.

Перед передачей персональных данных оператор должен провести оценку, чтобы убедиться, что предлагаемая страна имеет эти надежные механизмы защиты данных. Согласно недавней поправке 266-ФЗ, которая вступает в силу с 1 сентября 2022 года, оператор данных должен уведомить регулирующий орган о намерении осуществить трансграничную передачу данных.

Также контролеры данных, осуществляющие сбор персональных данных граждан Российской Федерации, обязаны обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных с использованием баз данных, расположенных на территории Российской Федерации. Данное требование по локализации данных распространяется на иностранные организации, осуществляющие целенаправленную деятельность на территории Российской Федерации и осуществляющие сбор персональных данных граждан Российской Федерации.

3. Права субъектов данных

Как и все другие основные законы о защите данных в мире, Федеральный закон № 152-ФЗ гарантирует всем пользователям или субъектам персональных данных определенные права и контроль над своими данными. Права субъекта данных могут быть реализованы при определенных обстоятельствах и имеют исключения. Эти права включают следующее:

a. Право на доступ к персональным данным

Все субъекты данных имеют право на доступ ко всем персональным данным, собранным организацией.

Кроме того, субъект данных может запросить доступ к следующей информации:

  • Подтверждение обработки данных оператором;
  • Правовые основания и цель обработки данных оператором;
  • Методы, используемые при обработке данных оператором;
  • Контактная информация оператора;
  • Источник собранных данных;
  • Срок обработки данных, в том числе срок их хранения;
  • Порядок осуществления прав субъекта данных;
  • Информация о любых трансграничных передачах данных, были ли данные субъекта данных частью каких-либо трансграничных передач;
  • Контактная информация лица, осуществляющего обработку данных от имени оператора

В соответствии с последними изменениями в законе на запросы о доступе к данным необходимо ответить в течение десяти рабочих дней.

б. Право на исправление и удаление персональных данных

Все субъекты данных имеют право потребовать от оператора исправления, блокировки или уничтожения их персональных данных, если собранные данные с тех пор устарели, неполны или устарели. Субъект данных также может воспользоваться правом на удаление данных, если данные больше не нужны для его целей.

в. Право субъектов данных в отношении принятия решений исключительно на основе автоматизированной обработки их персональных данных

Субъект данных может потребовать от оператора прекратить использование автоматизированного принятия решений на основе собранных им данных, если он считает, что его права или интересы нарушаются.

д. Права субъектов данных, если их персональные данные обрабатываются в целях продвижения товаров на рынке

Оператор может собирать персональные данные субъекта данных для целей прямого маркетинга, если он получил предварительное согласие от субъекта данных. Это может включать продвижение товаров, работ и услуг на рынке.

Субъект данных может потребовать от оператора прекратить отправку ему любых таких сообщений или материалов. Оператор должен немедленно прекратить свою деятельность по прямому маркетингу в отношении субъекта данных после того, как будет сделан такой запрос. Если хранение данных больше не требуется для целей, для которых данные были собраны, организации должны уничтожить данные или обеспечить их уничтожение в срок, не превышающий тридцати дней с даты получения запроса на отзыв субъектом данных.

Однако в соответствии с изменением 266-ФЗ, вступающим в силу с 1 сентября 2022 года, оператор данных обязан прекратить обработку персональных данных в течение 10 рабочих дней с момента получения оператором запроса.

эл. Права в отношении публично распространяемых данных

Для распространения или разрешения распространения персональных данных среди неограниченного числа лиц требуется согласие субъекта данных. Такое согласие должно быть получено отдельно от других видов согласия.

4. Регулирующий орган

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) является основным надзорным органом, обеспечивающим соблюдение закона о конфиденциальности данных в стране. Является уполномоченным федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в соответствии с положениями Федерального закона «О персональных данных».

5. Штрафы за несоблюдение

В марте 2021 года внесены изменения в штрафные санкции, связанные с несоблюдением Федерального закона № 152-ФЗ со стороны обработчиков или контролеров данных.

Закон предусматривает компенсацию морального вреда и наложение административных штрафов за нарушение требований локализации данных, нарушение законодательства о защите данных или неполучение согласия в соответствии с требованиями.

От минимальной до максимальной суммы, которая может быть присуждена, составляет:

  • Штраф для граждан составляет от двух тысяч до шести тысяч рублей
  • Штраф на должностных лиц — от десяти тысяч до двадцати тысяч рублей
  • Штраф на юридических лиц от шестидесяти тысяч до ста тысяч рублей

Повторное совершение административного правонарушения влечет наложение следующих административных штрафов:

  • Штраф на граждан в размере от четырех тысяч до двенадцати тысяч рублей
  • Штраф на должностных лиц от двадцати тысяч до пятидесяти тысяч рублей
  • Штраф на индивидуальных предпринимателей — от пятидесяти тысяч до ста рублей
  • Штраф на юридических лиц составляет от ста до трехсот тысяч рублей.

6. Как организация может применять закон

Для организаций часто недостаточно просто знать свои обязанности и обязанности. О соблюдении закона зачастую легче сказать, чем сделать, поскольку может возникнуть множество сложностей. К счастью, многие из этих проблем можно решить, если у организации есть сильная база для работы. Следовательно, вот несколько способов, которыми организация может операционализировать закон:

  • Иметь политику конфиденциальности, которая легко понятна и эффективно сообщает обо всех обязательствах организации и правах субъектов данных;
  • Наймите компетентного DPO, который разбирается в законах и может дать совет по обеспечению соответствия методов сбора данных организации закону;
  • Убедитесь, что все сотрудники и сотрудники компании четко осознают свои обязанности в соответствии с законом;
  • Проводите регулярные оценки воздействия на защиту данных, а также учения по сопоставлению данных, чтобы обеспечить максимальную эффективность ваших усилий по обеспечению соответствия требованиям;
  • Незамедлительно уведомлять соответствующие органы и затронутых субъектов данных о любой утечке данных.

7. Как Securiti может помочь

Пользователи теперь более осведомлены и бдительны в отношении веб-сайтов или организаций, собирающих любые данные о них в Интернете. Кроме того, почти в каждой крупной стране в настоящее время действует или находится в стадии разработки закон о защите данных. Это означало, что организациям пришлось изменить и развить свои методы сбора данных, чтобы обеспечить выполнение своих юридических обязательств без потери доверия пользователей.

Однако из-за огромного количества задействованных данных большинство организаций могут счесть эту геркулесову задачу достаточно пугающей. Вероятность ошибки крайне мала, а любые нарушения строго наказываются.

Здесь Securiti может помочь.

Securiti является лидером на рынке решений для управления данными и соответствия требованиям. К ним относятся, среди прочего, роботизированное выполнение DSR, сопоставление данных и управление нарушениями.

Запросите демонстрацию сегодня, чтобы узнать, что еще может предложить Securiti и как это может помочь вам в соблюдении Федерального закона № 152-ФЗ.

Требования ФЗ-152 – Должна ли ваша компания их соблюдать?

После введения в действие в России Закона о персональных данных № 152-ФЗ иностранные компании, работающие на российском рынке, были вынуждены принимать меры по соблюдению требований закона, чтобы избежать потенциального риска штрафов. Широкое внедрение облачных сервисов, от программного обеспечения до систем хранения, создало дополнительные проблемы совместимости — поставщики облачных услуг (CSP) также должны соблюдать требования закона для хранения данных клиентов в облаке.

Мы рекомендуем всем операторам данных, обрабатывающим российские персональные данные, проверить их соблюдение. В этой статье мы объясняем, почему это важно, особенно для компаний, выходящих на российский рынок.

Какова основная цель закона?

Федеральный закон 152-ФЗ «О персональных данных» укрепляет конфиденциальность граждан. По закону вся информация, полученная компаниями, банками, социальными сетями, интернет-магазинами и т. д. от сотрудников и клиентов, должна тщательно храниться. Передача персональных данных третьим лицам подлежит административной и уголовной ответственности. При этом для получения любой частной информации должно быть назначено уполномоченное лицо, которое будет ее обрабатывать и обеспечивать безопасность.

Под персональными данными в Законе понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Операторы данных могут осуществлять сбор персональных данных только с согласия субъекта ПДн. При этом устного разрешения часто бывает недостаточно – лучше подписать краткое соглашение или (если это сайт) предусмотреть поле с требованием поставить галочку о согласии на обработку передаваемых персональных данных.

Закон также требует, чтобы данные можно было использовать только для той конкретной цели, для которой они были собраны.

Предприятия должны принять все необходимые меры для защиты данных, а также быть прозрачными для граждан в отношении того, как они используют собранные личные данные. Граждане могут запросить посмотреть, какие данные о них хранятся в организации, а также могут запросить их удаление в любое время.

Почему это важно

Наиболее очевидным влиянием 152-ФЗ на иностранные компании является суверенитет данных. Правила локализации данных требуют, чтобы все операторы данных, работающие с персональными данными граждан России, хранили свои базы данных таких данных в России.

Это новшество затрагивает международные компании, поскольку почти все их внутреннее программное обеспечение (CRM, учетные системы, системы управления персоналом и т. д.) является глобальным и часто находится за границей. Кроме того, это важно для зарубежных веб-сервисов, не имеющих локализованных систем (таких как Twitter и Facebook). Новинка касается и разработчиков веб-сервисов, которые изначально решили локализовать системы в своих странах, хотя ориентируются на российскую аудиторию.

За несоблюдение требований по локализации, а также требований законодательства Российской Федерации в области персональных данных Роскомнадзор может заблокировать сайты или ограничить обработку персональных данных в нелокализованных базах данных. На это указано в статье 23 п. 4 Федерального закона «О персональных данных». Регулятор может проверить локализацию сайта выездными проверками, установив местонахождение базы данных, содержащей персональные данные россиян.

Помимо блокировки веб-сайта оператора данных, обрабатывающего российские персональные данные, предусмотрены финансовые санкции. Административные штрафы за несоблюдение Правил локализации данных оператором данных составляют от 2 млн до 6 млн рублей (в настоящее время примерно от 27 000 до 80 000 долларов США) при первоначальном нарушении, при повторном нарушении штраф может достигать ₽ 18 миллионов (около 240 000 долларов США).

Они также ввели штрафы для топ-менеджеров компаний (генеральный директор или генеральный директор). За первоначальное нарушение до 200 000 рублей (примерно от 1560 до 3125 долларов США), за повторное нарушение — от 500 000 до 800 000 рублей (примерно от 7800 до 12 500 долларов США).

Стоит отметить, что если деятельность иностранной организации направлена ​​на россиян, то к такой организации применяются не только требования по локализации.

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *