DS CRM Контакт- центры Кассовое ПО E-mail и SMS провайдеры ERP-системы Платформы для бизнес- анализа Социальные сети Мобильные приложения Веб-сайты
01.09.2022

Изменения в законе о персональных данных

Не очень праздничный пост ко Дню знаний

1 сентября произошли изменения в Федеральном законе “О персональных данных”, которые касаются всех, кто развивает программы лояльности и собирает клиентские данные. Обязанностей и штрафов стало больше, а соблюдать требования по работе с персональными данными стало сложнее.

Новый Федеральный закон №266 требует теперь практически во всех случаях информировать Роскомнадзор, если компания собирается обрабатывать данные физлиц. Даже если эти данные нужны исключительно для клиентских договоров. Даже если собирается только ФИО. Даже если покупатели сами разрешили свои данные распространять. И даже если оцифровываются данные посетителей на входе в офис.

Кроме того, теперь фактически любой работодатель должен быть зарегистрирован в реестре операторов персональных данных.

Компания, которая ещё не стала оператором персональных данных, должна оперативно направить в Роскомнадзор уведомление об их обработке. А оператор – уведомить о новых целях обработки персональных данных не позднее 15 сентября.

Что ещё важно знать 1 сентября:

  • Придётся чаще получать согласие клиента на обработку. Появились дополнительные требования о «предметности и однозначности». П.4 ст.1 266-ФЗ.
  • Нельзя отказать в обслуживании покупателю, если он отказывается предоставить биометрические данные или дать согласие на обработку персданных в необязательных по закону случаях. Этих случаев не так много по п.2 ст.11 152-ФЗ.
  • Появились конкретные требования к содержанию поручения на обработку персданных. П.3 ст.6 152-ФЗ.
  • С физлицом нельзя прописать, что его бездействие подразумевает разрешение на заключение договора, по которому он станет выгодоприобретателем или поручителем. П. 3а ст. 1 266-ФЗ.
  • Иностранный обработчик персданных будет отвечать перед человеком. Ранее он отвечал только перед оператором. П. 3а, 3в ст.1 266-ФЗ.
  • В три раза быстрее теперь нужно отвечать на запросы человека или Роскомнадзора. Теперь это 10 рабочих дней. П.8а, п.12 ст.1 266-ФЗ. В такой же срок по требованию оператор должен прекратить обработку персданных. П.13 ст.1 266-ФЗ.
  • Об утечке персданных нужно будет сообщить в Роскомнадзор в течение 24 часов с момента инцидента. А в течение 72 часов — проинформировать о результатах внутреннего расследования. П. 13 ст.1 266-ФЗ.
  • Оператор обязан подключиться к системе ГосСОПКА, чтобы передавать туда информацию о компьютерных инцидентах с утечками персданных. П.12 ст.1 266-ФЗ.

Все изменения нужно отразить в политике по обработке персональных данных и локальных нормативных актах компании. Эти документы разрабатываются по требованиям статьи 18.1 152-ФЗ.

За непредставление или несвоевременное представление уведомления предусмотрена административная ответственность от предупреждения до 5000 рублей по ст. 19.7 КоАП. За невыполнение требований законодательства в области обработки персданных – штраф от 60 000 до 100 000 по ст.13.11 КоАП.

Также с 1 сентября устанавливается ответственность за отказ потребителю в заключении договора из-за непредоставления персональных данных: 30 000–50 000 р. на основании 145-ФЗ. Штраф касается случаев избыточных требований о предоставлении персданных. Но не распространяется на случаи, когда данные покупателя нужны для исполнения договора – например, сбора адреса для доставки заказа.

В общем, поздравляем всех с днём знаний и желаем умело использовать эти знания на практике!

Ирина Архипова

Ирина Архипова. Руководитель юридической службы Direct Service