Группа компаний «АВИ-Центр»

Изменения Федерального Закона от 14.07.2022 № 266-ФЗ
Информационная безопасность, Новости отраслей и продуктов

Новости

Изменения Федерального Закона от 14.07.2022 № 266-ФЗ

Grandsmeta 2022 1024x374
Гранд-Смета
22 сентября 2022
Коллеги! Группе компаний АВИ-Центр 25 лет!
Bitrix24 New Sotr1 1024x373
Внедрение CRM
19 сентября 2022
Grandsmeta 2022 1024x374
Гранд-Смета
13 сентября 2022
1. Учтены изменения для расчета сметы БИМ и РМ по приказу Минстроя РФ от 7 июля 2022 года 557/пр
25 Years 1024x381
Новость компании
12 сентября 2022
С Днём Рождения нас!
Bitrix24 Top20 1024x374
Битрикс24
09 сентября 2022
Совсем недавно Битрикс24 опубликовал всероссийский рейтинг партнеров «Лидеры продаж «1С-Битрикс24: коробочная версия» за 2022 год».
Calendar2022 1024x374
Автоматизация и учет
07 сентября 2022
Добрый осенний день! Сентябрь — последний месяц 3-го квартала, поэтому мы подготовили календарь бухгалтера. Он поможет не пропустить не только сроки сдачи отчетности, но и обязательные платежи. Мы знаем, что бухгалтер самый ответственный человек в компании и с отчетами лучше всех дружит, поэтому пусть наш календарь послужит проверкой самого себя:
Image 141 1024x372
Информационная безопасность
05 сентября 2022
Smeta Sent2022 1024x374
Новость компании
05 сентября 2022
Здравствуйте, коллеги! Делимся с Вами важными сметными новостями.
3 1024x576
Информационная безопасность
24 августа 2022
Недавно мы рассказывали, как победили в мотивационной программе Лаборатории Касперского, главным призом которой, была поездка на Камчатку. Наш менеджер проектов Александр Слесарев уже вернулся из путешествия и с удовольствием делится невероятными видами этого волшебного края!
Image 141 1024x372
05 сентября 2022
#СОВинформ #Разбор_полетов

Прежде всего, даем ссылку на источник, чтоб Вам было проще ознакомиться с текстом документа.

Сегодня мы более подробно разберем изменения, которые касаются, без преувеличения, всех организаций вне зависимости от организационной формы и формы собственности.

Имейте в виду, что изменения вступают в силу не одновременно. В статье 6 Закона № 266 указано, что закон вступает в силу с 01.09.2022 года за исключением положений, для которых настоящей статьей установлен иной срок вступления в силу. Кстати, этот иной срок – 01.03.2023.

  1. Необходимо детализировать перечень персональных данных (далее по тексту – ПДн), обработка которых поручается сторонним организациям.

В соответствии с ч. 3 с. 6 Закона № 152-ФЗ, в поручении оператора на обработку ПДн должны быть определены:

— перечень персональных данных,

— перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных,

— цели их обработки,

— должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные ч. 5 ст. 18 и ст. 18.1 Закона № 152-ФЗ,

— обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с настоящей статьей,

— обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ст. 19 Закона № 152-ФЗ, в том числе требование об уведомлении оператора о случаях, предусмотренных ч. 3.1 ст. 21 Закона № 152-ФЗ.

Что нужно сделать? Необходимо пересмотреть документы, в соответствии с которыми поручается обработка ПДн, вне зависимости от того, чьи данные обрабатываются третьими лицами – сотрудников организации или не сотрудников. Поскольку ответственность за нарушение законодательства несет не Ваш партнер, а оператор ПДн.

          2. Изменение ч. 5 ст. 6, ч.1 ст. 9 Закона № 152-ФЗ.

Дополнена следующим: «Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных».

Давайте рассмотрим такой пример. Часто встречающаяся фраза: «Продолжая оформление заказа, Вы даете согласие на обработку персональных данных». С 1 сентября такая формулировка может явиться формальным основанием для жалобы в адрес регулятора. Иными словами (что подтверждается изменением ч. 1 ст. 9 Закона № 152-ФЗ), согласие на обработку персональных данных (далее по тексту – ПДн) должно быть конкретным, предметным, информированным, сознательным и однозначным.

Что нужно сделать? Необходимо проверить, насколько соответствует закону способ сбора персональных данных через формы сайтов и, в случае выявления нарушений, внести соответствующие коррективы. Также необходимо свериться с рекомендациями Роскомнадзора в отношении форм согласия на обработку ПДн. (Прим. автора – требования по-прежнему урегулируются приказом Роскомнадзора № 18 от 24.02.2021)

Чем может быть чревато нарушение этой нормы? Привлечением к ответственности по ч. 2 и ч. 2.1 ст. 13.11 КоАП (в размере от 20 000 до 100 000 рублей для должностных лиц, от 100 000 до 300 000 рублей для ИП, от 30 000 до 500 000 для юридических лиц).

           3. Главное изменение! Уведомление Роскомнадзора.

С 01.09.2022 утратили силу пп. 1-6 ч. 2 ст. 22, которые ранее позволяли не направлять уведомление в случае если Вы обрабатываете ПДн по ряду оснований. Многие операторы пользовались этой возможностью. Теперь необходимо направить соответствующее уведомление, в случаях, если Вы осуществляете обработку ПДН:

— в соответствии с трудовым законодательством;

— полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

— относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

— разрешенных субъектом персональных данных для распространения при условии соблюдения оператором запретов и условий, предусмотренных статьей 10.1 Закона № 152-ФЗ;

— включающих в себя только фамилии, имена и отчества субъектов персональных данных;

— необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях.

 

В каких случаях можно НЕ уведомлять Роскомнадзор:

— при обработке ПДн, включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

— в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;

— обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности.

 

Изменена форма уведомления. Подробнее об этом на сайте Роскомнадзора Портал персональных данных – Электронные формы заявлений (rkn.gov.ru)

В случай изменения сведений, указанных в ч. 3 ст. 22,  а также в случае прекращения обработки ПДн необходимо направить информационное письмо в течении 10 рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

ВАЖНО: С 1 марта 2023 года об изменениях необходимо будет уведомить не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения.

Кстати говоря, у Вас есть возможность оценить качество проведенной работы по аудиту информационной безопасности. Поскольку грамотно составленные документы включают все необходимые для направления уведомления сведения и Вам не придется заново проводить работу по опросу подразделений, выявлению субъектов ПДн, целей и условий обработки ПДн и т.п. Партнеры, выбравшие нас для проведения работ, получают полный комплект документации, содержащий эти сведения не только на бумажных носителях, но и в электронном виде в формате, позволяющем копирование информации, что несомненно ускорит и упростит работу Ваших ответственных сотрудников. (Да, это была минутка рекламы. 😉 Но ведь если мы хорошо выполняем свою работу, то можем говорит об этом с гордо поднятой головой!)

Кстати говоря, наши Заказчики, сделавшие выбор в пользу системы «Альфадок» от наших замечательных партнеров ООО «НПЦ «КСБ» могут вообще на заморачиваться на составление уведомлений и информационных писем. Поскольку система заполняет эти документы автоматически, на основании введенных в профиле пользователя сведений. Настоящая мечта специалиста по ИБ – система сама актуализирует документы в соответствии с последними изменениями законодательства и напомнит о необходимости утвердить новую форму документа.

А сейчас автор будет завершать сегодняшнюю статью, но не обзор изменений закона № 152-ФЗ. Как говорится, продолжение следует. 😉

PS. Напоследок даем ссылку на официальный канал Роскомнадзора с полезным контентом по поводу изменений. https://t.me/rkn_tg/320

Кстати, если у Вас есть вопросы, будем рады ответить на них, поскольку наш канал также работает как бюро помощи в любой ситуации в сфере информационной безопасности!

Берегите себя и продолжайте читать наш канал.

 

Автор статьи: Виктория Уляшина.