Что меняется в обработке персональных данных с 1 сентября 2022 года

24 августа 2022 80

В начале осени вступает в силу Федеральный закон от 14.07.2022 № 266-ФЗ. Он должен повысить ответственность операторов персональных данных, сделать более прозрачной их деятельность и защитить личные данные россиян. Разберемся, что нового он несет предпринимателям.

Замглавы Роскомнадзора Милош Вагнер сообщил, что только в 2022 году в России произошло более 40 крупных утечек персональных данных россиян. Было скомпрометировано свыше 300 миллионов записей. Его слова подтверждаются громкими новостями из открытых источников. Еще в мае стало известно о слитых в открытый доступ базах данных клиентов СДЭК, ВТБ, Delivery Club, Wildberries, Avito, «Билайна», «Гемотест».

С 1 сентября требования к работе с персональными данными в очередной раз ужесточатся, у бизнеса появятся новые обязанности, а у Роскомнадзора — новые причины для штрафов.

extern

Отчитывайтесь по сотрудникам через Экстерн. В сервисе всегда актуальные формы и встроенные проверки

Как регулируется обработка персональных данных

В России защита информации о личности граждан обеспечивается Федеральным законом от 27.07.2006 № 152-ФЗ. Он не содержит конкретного перечня, что относится к персональным данным. Это могут быть любые сведения, которые прямо или косвенно относятся к определенному физическому лицу (ст. 3 152-ФЗ), например:

  • Ф.И.О.;
  • дата рождения;
  • адрес регистрации и адрес проживания;
  • паспортные данные, СНИЛС, ИНН;
  • номер телефона;
  • e-mail;
  • адрес страницы в соцсетях;
  • контакт в мессенджере.

То есть к персональным данным (ПД) относится любая информация, которая позволяет определить конкретного человека — субъекта ПД. 

По 152-ФЗ те, кто получают доступ к ПД не для семейных нужд и работают с ними: собирают, систематизируют, используют, передают, хранят и т.п., являются операторами персональных данных (ОПД). ОПД может быть как крупная корпорация, так и фотомастерская со штатом в два человека. Оператор имеет право, с согласия гражданина, поручить обработку его персональных данных другому лицу — обработчику (п. 3 ст. 6 152-ФЗ).

ОПД несут ответственность перед гражданами за сохранность их личных данных. У операторов ПД есть обязанности (ст. 18–22.1 152-ФЗ). Например, до начала обработки персональных данных нужно уведомить Роскомнадзор, чтобы попасть в Единый реестр. Исключения из правила указаны в п. 2 ст. 22 Закона № 152-ФЗ. По общему правилу обработчики напрямую с субъектами ПД не контактируют и несут ответственность не перед ними, а перед оператором.

С 1 сентября 2022 года действие 152-ФЗ распространяется на обработку ПД российских граждан, осуществляемую иностранными юрлицами или физлицами на основании договора или с согласия гражданина (п. 1. ст. 1 Федерального закона от 14.07.2022 № 266-ФЗ).

Что меняется для операторов и обработчиков персональных данных

С 1 сентября 2022 года 266-ФЗ вводит дополнительные правила для ОПД и обработчиков или ужесточает имеющиеся. Предпринимателям станет сложнее соблюдать все требования работы с персональными данными.

  1. В договор с физическим лицом нельзя будет включать положение о том, что его бездействие подразумевает разрешение на заключение договора, в котором он будет выгодоприобретателем или поручителем (п. 3а ст. 1 266-ФЗ). 
  2. Появляются дополнительные требования о «предметности и однозначности» согласия на обработку ПД (п. 4 ст. 1 266-ФЗ). То есть фактически предпринимателям придется чаще получать согласие субъекта ПД.
  3. Появляются конкретные требования к содержанию поручения оператора, указанного в п. 3 ст. 6 152-ФЗ. Кроме того, вводится ответственность иностранного обработчика персональных данных перед субъектом ПД (п. 3а, 3в ст. 1 266-ФЗ). До 1 сентября 2022 года он отвечал только перед оператором.
  4. Оператор не сможет отказать в обслуживании физлицу, если то отказывается предоставить биометрические данные или дать согласие на обработку ПД в необязательных по закону случаях. Которых не так много по п. 2 ст. 11 152-ФЗ. Аналогичные изменения будут действовать с 1 сентября 2022 года и в Законе о защите прав потребителей (Федеральный закон от 01.05.2022 № 135-ФЗ).
  5. Оператор должен будет отреагировать на запрос субъекта ПД о предоставлении сведений по ч. 7 ст. 14 152-ФЗ в течение 10 рабочих дней (п. 8а, п. 12 ст. 1 266-ФЗ). Раньше срок ответа составлял 30 дней.
  6. Срок в 10 рабочих дней вместо 30 календарных устанавливается и для ответа в Роскомнадзор (п. 12 ст. 1 266-ФЗ). Об утечке персональных данных нужно будет сообщить в ведомство в течение 24 часов с момента инцидента, а в течение 72 часов — проинформировать о результатах внутреннего расследования (п. 13 ст. 1 266-ФЗ).
  7. ОПД обязан будет подключиться к системе ГосСОПКА, чтобы передавать туда информацию о компьютерных инцидентах, повлекших утечку персональных данных (п. 12 ст. 1 266-ФЗ).
  8. Оператор должен будет прекратить обработку ПД или обеспечить прекращение обработки при договоре с обработчиком в течение 10 рабочих дней с даты получения соответствующего требования от гражданина (п. 13 ст. 1 266-ФЗ).

Все изменения в законодательном регулировании нужно будет отразить в политике ОПД в отношении обработки персональных данных и локальных нормативных актах ОПД-юрлица, которые разрабатываются по требованиям ст. 18.1 152-ФЗ.

Глобальное изменение с 1 сентября 2022 года — сокращение списка ситуаций, когда не нужно уведомлять Роскомнадзор до начала обработки ПД. В перечне остается всего три случая, когда оператору не обязательно входить в Единый реестр: работа с ПД без средств автоматизации, включение персональных данных в ГИС, созданных для защиты безопасности государства и общественного порядка и обработка в соответствии с законодательством РФ о транспортной безопасности (п. 14 ст. 1 266-ФЗ).

Кто и когда должен уведомить Роскомнадзор об обработке персональных данныхНапомним, что раньше таких ситуаций по ст. 22 152-ФЗ было девять. Например, можно было не уведомлять Роскомнадзор об обработке ПД штатных сотрудников. С 1 сентября 2022 года любой работодатель должен быть зарегистрирован в Едином реестре ОПД.

extern

Отчитывайтесь легко и без ошибок

Удобный сервис для подготовки и сдачи отчетов через интернет. Дарим доступ в Экстерн на 14 дней!

Какие санкции грозят оператору за нарушения

За невыполнение требований законодательства в области обработки ПД предприниматели могут получить штраф от 60 до 100 тыс. рублей (ст. 13.11 КоАП РФ).

С 1 сентября 2022 года устанавливается административная ответственность за отказ потребителю в заключении договора из-за непредоставления персональных данных. Штраф за нарушение для ИП и юрлиц составит от 30 до 50 тыс. рублей (Федеральный закон от 28.05.2022 № 145-ФЗ).

Предприниматель по Закону от 01.05.2022 № 135-ФЗ имеет право отказать потребителю в заключении договора из-за непредоставления ПД, если персональные данные обязательны по законодательным требованиям или непосредственно нужны для исполнения договора. Например, покупатель выбирает доставку курьером, но не указывает адрес доставки. В этом случае продавец не будет нести ответственности за отказ в заключении договора.

Штраф по 145-ФЗ касается случаев избыточности требований о предоставлении ПД потребителем. Не секрет, что многие компании собирают много личной информации от клиентов, чтобы, как минимум, отправлять им рекламные рассылки.

Какие изменения по Закону 266-ФЗ вступят в силу с 1 марта 2023 года

Весной 2023 года начнут действовать положения о трансграничной передаче персональных данных, то есть передаче их на территорию иностранного государства: зарубежным органам власти, компаниям или физлицам.

Во-первых, Роскомнадзор будет утверждать список стран, обеспечивающих адекватную защиту ПД. В него, прежде всего, будут включать государства — участники Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.

Во-вторых, ОПД должны будут уведомлять Роскомнадзор до начала трансграничной передачи ПД. Ведомство, в свою очередь, может запретить или ограничить предоставление персональных данных иностранцам (п. 7 ст. 1 266-ФЗ).

Еще одно нововведение коснется выписок из ЕГРН. Если собственник недвижимости не подаст заявление о согласии на предоставление его персональных данных третьим лицам, то те по общему правилу не смогут их получить. Без согласия субъекта ПД Роскадастр даст выписки с личными сведениями ограниченному кругу лиц, например, нотариусам или кадастровым инженерам (ст. 4 266-ФЗ).

Это означает, что Единый реестр недвижимости становится закрытым. Предполагается, что эта мера защитит собственников имущества от мошенников, но такие данные не смогут также получить журналисты или общественники при расследовании коррупционных правонарушений.

Экстерн

В Экстерне всегда актуальные формы и встроенные проверки.

Отчитаться
Экстерн

В Экстерне всегда актуальные формы и встроенные проверки.

Отчитаться
Получайте новости от наших экспертов дважды в месяцГлавное на почту
Подписаться
Подписываясь, вы соглашаетесь на обработку персональных данных и получение информационных сообщений от группы компаний СКБ Контур.

Статьи по теме

Все статьи
80 комментариев
Н
Николай 26 августа
Получается , что информация на сайте судебных приставов будет по-прежнему открытой . И устроиться на работу будет проблематично.
О
А при приёме ребёнка в школу этот закон тоже действует ?
Елизавета Кобрина 29 августа
Ольга, здравствуйте! На госорганы, в том числе школы, 152-ФЗ тоже распространяется
ИД
Ирина Даниленко 30 августа
Ольга, мы в школе всегда заполняли бланк согласия на обработку перс.данных
А
ООО с сотрудниками является ОПД?
Елизавета Кобрина 29 августа
Анна, добрый день! Да, см. ст. 3 152-ФЗ

оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Е
А когда надо зарегистрироваться в Роскомнадзоре?
Елизавета Кобрина 29 августа
Елена, здравствуйте! В соответствии со статьей 22 Федерального закона «О персональных данных» операторы, осуществляющие обработку персональных данных, обязаны до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.
Е
Екатерина 29 августа
Если мы в ПФР передаем СЗВ-ТД, то нужно уведомить об этом Роскомнадзор?
Елизавета Кобрина 29 августа
Екатерина, здравствуйте! Каким способом передаете, какие еще операции с персональными данными осуществляете?
Е
Екатерина 29 августа
Елизавета Кобрина, через Контур. А также все отчеты в ПФР, ФСС, ИФНС (также через Контур).
Елизавета Кобрина 30 августа
Екатерина, уведомление следует подать.
В
Если не отправить до 1 сентября уведомление в Роскомнадзор, какие штрафы предусмотрены?
Елизавета Кобрина 29 августа
Валия, добрый день! За неотправку уведомления предусмотрена ответственность по ст. 19.7 КоАП РФ:

«предупреждение или наложение административного штрафа на граждан в размере от ста до трехсот рублей; на должностных лиц - от трехсот до пятисот рублей; на юридических лиц - от трех тысяч до пяти тысяч рублей».

За опоздание ответственность не предусмотрена.
ИД
Ирина Даниленко 30 августа
Что лучше подать сейчас уведомление или после 01.09.2022, ведь все равно потом придется вносить изменения, потому что по старому заполняли уведомление?
Елизавета Кобрина 30 августа
Ирина Даниленко, добрый день! За опоздание с подачей уведомления санкции не предусмотрены, поэтому не критично будет, если подадите в начале сентября.
Ю
Как подать через контур уведомление? подскажите где в меню уведомление? нужно ли после отправки через контур сдавать его еще и на бумажном носителе?
Елизавета Кобрина 30 августа
Юлия, добрый день! Через Контур уведомление подать нельзя. Подробнее о способах и сроках подачи мы писали тут.
Е
Добрый день! Все сотрудники заполняют заявление о согласии персональных данных о передаче третьим лицам? т.к. третье лицо получается передача данных в ПФР, ФСС, ИФНС.
и какое согласие оформлять если в СБЕРБАНК или по сайту в организации, и в организации в бухгалтерию по з/плате?
А если запросы идут с других организаций на работника, тоже согласие берем?
вы меня простите, но я запуталась совсем(
Елизавета Кобрина 30 августа
Елена, добрый день! Согласие сотрудника на передачу данных в ПФР, ФСС и ФНС не требуется, так как такая передача предусмотрена законодательством.

ст. 7 152-ФЗ
Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

В остальных случаях согласие требуется. Можете ознакомиться со статьями наших коллег по этой теме:

https://school.kontur.ru/publications/2077
https://kontur.ru/articles/5844
А
Здравствуйте! Поясните, пожалуйста, не совсем понятно, подача уведомления - разовая процедура? Подаем уведомление о том, что мы являемся оператором и будем осуществлять обработку и передачу персональных данных (СЗВ-ТД, отчеты ПФР и т.д.) и больше не отправляем ничего или же это делается каждый раз, как будет проходить отправка и обработка данных?
Елизавета Кобрина 30 августа
Анна, добрый день! Уведомление подается один раз, если в будущем у вас изменятся сведения, которые вы указывали в уведомлении, нужно будет внести изменения в реестр, направив информационное письмо. Подробнее об этом писали тут
Е
Добрый день, мы оператор связи. Имеем ли мы подключать, отключать и вообще обслуживать лицо отказавшееся предоставить свои данные? Как подтвердить личность тогда?
Елизавета Кобрина 30 августа
Елена, добрый день! Редакция журнала не уполномочена консультировать по нормам действующего законодательства и давать советы по конкретной ситуации, которые можно использовать как рекомендации к действию. Это сфера ответственности должностных лиц контрольных (надзорных) органов (ст. 50 Федерального закона от 31.07.2020 № 248-ФЗ). В Вашем случае — Роскомнадзора.
И
Елизавета Кобрина, А зачем вы тогда тут все это рассказываете?
Е
Евгения 30 августа
Добрый день! Скажите пожалуйста уведомления подают только вновь созданные организации?
Елизавета Кобрина 30 августа
Евгения, добрый день! Нет, все организации, которые являются операторами персональных данных, если ранее такое уведомление они не подавали.
Л
Людмила 30 августа
Добрый день. Не понятен пункт 7 (ОПД обязан будет подключиться к системе ГосСОПКА, чтобы передавать туда информацию о компьютерных инцидентах, повлекших утечку персональных данных (п. 12 ст. 1 266-ФЗ). Посмотрели на Госсопке обязанность подключения прописана определенным ОПД. ИП с несколькими сотрудниками, данные только по своим сотрудникам, ПД передаются чрез Контур в госструктуры с отчетами, тоже обязано подключаться?
Елизавета Кобрина 30 августа
Людмила, добрый день! Оператор обязан в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных (п. 12 ст. 1 266-ФЗ). Никаких исключений новая редакция 152-ФЗ не предусматривает.
Л
Людмила 30 августа
Елизавета Кобрина, а нет такой же подробной статьи по подключению к к системе ГосСОПКА?
Елизавета Кобрина Изменен 1 сентября
Людмила, пока нет, но напишем)
Р
Здравствуйте! Поясните, пожалуйста, подача уведомления - разовая процедура? Подаем уведомление о том, что мы являемся оператором и будем осуществлять обработку и передачу персональных данных (СЗВ-ТД, отчеты ПФР и т.д.) и больше не отправляем ничего? Или же это делается каждый раз, как будет проходить отправка и обработка данных?
Елизавета Кобрина 30 августа
Раиса, добрый день! Уведомление подается один раз. Если в будущем у вас изменятся сведения, которые вы указывали в уведомлении, нужно будет внести изменения в реестр, направив информационное письмо. Подробнее об этом писали тут
С
Светлана 30 августа
Добрый день. Если мы уже есть в реестре, подавать ничего не нужно?
Елизавета Кобрина 30 августа
Светлана, добрый день! Убедитесь, что в соответствии с новыми формулировками 152-ФЗ вам не требуется добавить сведения в реестр. Если вся нужная информация там есть, можно ничего не подавать. Если чего-то нет, следует подать информационное письмо в Роскомнадзор.
Н
Наталья 30 августа
Здравствуйте! Посмотрела форму уведомления и возникло миллион вопросов... где взять правильные формулировки для заполнения граф: 1.правовое основание обработки данных, 2.Цель обработки данных, 3. описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению их безопасности, 4. Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ. У нас небольшое производство, есть штат сотрудников, мы покупаем и продаем продукцию. Как мне в уведомлении отразить работу со всеми субъектами персональных данных? везде только сухие рекомендации типа "в соответствии с требованиями законодательства"..., нужны конкретные формулировки для разных видов деятельности, а изучить ВСЁ законодательство нереально!
Елизавета Кобрина 30 августа
Наталья, добрый день! У нас есть статья про уведомление РКН, там в конце приведена официальная методичка, но без формулировок.

Кроме того, на сайте Роскомнадзора по Брянской области приведены образцы: https://32.rkn.gov.ru/personal-data/p13324/. Но они актуальны на конец 2019 года.

Еще один способ найти образцы — ввести ИНН известной компании в реестре операторов персональных данных и ознакомиться с их формулировками.
НЯ
Не Ясно 30 августа
Не ясно , в статье написано, что кто обрабатывает данные штатных сотрудников для них начинается срок с 1 сентября. А в комментариях автор пишет надо подать до 1 сентября... так когда подать на штат ?
Елизавета Кобрина 30 августа
Не Ясно, здравствуйте! Оператор персональных данных обязан быть в реестре с 1 сентября 2022 года, так как именно с этой даты изменения вступают в силу, а до 1 сентября все исключения в 152-ФЗ действуют. Но, если трактовать буквально, то 1 сентября РКН уже имеет право начать проверку и привлечь оператора к ответственности за то, что он не подал уведомление. Поэтому безопасным вариантом будет подать уведомление до 1 сентября.
ТР
Татьяна Р 30 августа
Что такое ЦОД? В нашем случае в ООО 5 работников, учет в 1С.
Елизавета Кобрина 31 августа
Татьяна Р, здравствуйте! ЦОД — это центр обработки данных.

При заполнении поля «Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации» в полях:
- страна - указывается «Россия» (в случае если персональные данные хранятся за пределами Российской Федерации, указывается страна на территории которой Вы храните персональные данные);
- адрес ЦОД (центр обработки данных) – указывается адрес месторасположения центра обработки данных (зачастую это адрес фактического осуществления Вашей организацией деятельности по обработке персональные данных);
- собственный ЦОД – необходимо указать ДА/НЕТ (ДА – указывается в случае если ЦОД принадлежит Вашей организации (обработку персональных данных производится Вами самостоятельно; НЕТ – указывается в случае привлечения сторонней организации для организации обработки персональных данных посредством ЦОД, при этом необходимо будет ввести регистрационные данные данной организации)
Е
Евгения 30 августа
Мы являемся благотворительным фондом в лице одного директора, электронную базу для обработки персональных данных не ведем и вообще не собираем сведения о персональных данных. Мы должны направлять уведомление?
Елизавета Кобрина 31 августа
Евгения, Здравствуйте!

По Закону № 152-ФЗ:
оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Закон 152-ФЗ не содержит исключений для ИП, микропредприятий или некоммерческих организаций. Все случаи, когда он не применяется, указаны в самом 152-ФЗ.

Закон 152-ФЗ не распространяется на отношения, возникающие при:

1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

3) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну (ст. 1 Закона № 152-ФЗ).

Оператор вправе осуществлять обработку персональных данных без уведомления Роскомнадзора в случаях, указанных в п. 2 ст. 22 Закона № 152-ФЗ. С 1 сентября 2022 года их всего два:

— ПД, включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

— в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации.

Если фонд обрабатывает персональные данные граждан и не подпадает под исключения в ст. 1 и ст. 22 Закона № 152-ФЗ, он должен уведомить Роскомнадзор.
Р
Рамиль 30 августа
При подаче в мировой суд заявления о выдаче судебного приказа законодательство РФ требует указывать идентификаторы должника (персональные данные). Нужно ли разрешение на предоставление персональных данных третьим лицам (в суд) владельцев ПД-должников?
Елизавета Кобрина 31 августа
Рамиль, добрый день! Согласие должника на передачу данных в суд в рамках заявление о выдаче судебного приказа не требуется, так как передача сведений о должнике предусмотрена законодательством, а именно ст. 124 ГПК РФ.

ст. 7 152-ФЗ
Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
И
Добрый день! Я так поняла, что даже использование перс. данных при заключении договоров с физ. лицами и ИП (купля-продажа, услуги) обязывает подать уведомление. Не так?
Елизавета Кобрина Изменен 31 августа
Инна, Здравствуйте!

По Закону № 152-ФЗ:
оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Закон 152-ФЗ не содержит исключений для ИП, микропредприятий или некоммерческих организаций. Все случаи, когда он не применяется, указаны в самом 152-ФЗ.

Закон 152-ФЗ не распространяется на отношения, возникающие при:

1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

3) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну (ст. 1 Закона № 152-ФЗ).

Оператор вправе осуществлять обработку персональных данных без уведомления Роскомнадзора в случаях, указанных в п. 2 ст. 22 Закона № 152-ФЗ. С 1 сентября 2022 года их всего два:

— ПД, включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

— в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации.

Если вы обрабатываете персональные данные граждан и не подпадаете под исключения в ст. 1 и ст. 22 Закона № 152-ФЗ, следует уведомить Роскомнадзор.
С
Сергей 31 августа
Уточните, пожалуйста, если ИП без сотрудников, и никакие персональные данные не используются - распространяется ли на него этот закон?
Елизавета Кобрина 1 сентября
Сергей, здравствуйте! 152-ФЗ распространяется на отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, иными муниципальными органами (далее - муниципальные органы), юридическими лицами и физическими лицами.

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

ИП без сотрудников не исключены из перечня лиц, к которым применяется закон. Но если обработка персональных данных не выполняется, то положения закона не применимы.
С
Сергей 31 августа
Уточните, пожалуйста, если ИП без сотрудников, и никакие персональные данные не используются - распространяется ли на него этот закон?
Н
Наталья 31 августа
если турфирма заключает договора с физлицами, нужно согласие на ОПД?
Елизавета Кобрина 1 сентября
Наталья, здравствуйте! Обработка персональных данных осуществляется с согласия субъекта персональных данных (туриста) на обработку его персональных данных. Согласие не требуется, если обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

Ознакомьтесь с памяткой.) для туристических операторов и агентств, размещенной на сайте РКН.
П
В БУ работадатель даёт новый бланк согласия о ПДн в связи с изменениями в законе, а что со старым согласием, оно что уже не действует?, или правильно было бы отозвать старое согласие на обработку ПДн и взять новое. И нужно ли брать новое согласие, если есть старое.
Елизавета Кобрина 1 сентября
Пётр, здравствуйте! Требования к согласию на обработку персональных данных изменились, поэтому работодателям рекомендовано проверить действующие согласия на соответствие им и внести изменения. Мы в ближайшее время напишем статью по согласиям и в ней подробнее ответим на ваши вопросы.
О
Оксана 7 октября
Елизавета Кобрина, подскажите, когда можно будет знакомиться со статьей?
Елизавета Кобрина 7 октября
И
О