Новости
26 авг. 2022
Персональные данные: какие изменения учесть компаниям с 1 сентября
Изменения коснулись широкого круга вопросов. Среди них: когда нужно уведомить о намерении обрабатывать персональные данные; что включать в локальные акты и как их правильно размещать на сайте компании; что делать, если произошла утечка данных.
Сроки предоставления информации Роскомнадзору
Срок ответа ведомству сократили с 30 календарных до 10 рабочих дней. Он может быть увеличен в пределах 5 рабочих дней на основании мотивированного уведомления.
Уведомление об обработке персональных данных
1. Из Закона о персональных данных исключают большинство случаев, когда компаниям не нужно было уведомлять Роскомнадзор о намерении начать обрабатывать персональные данные.
Таким образом, следует проинформировать ведомство, если компания собирается обрабатывать, в частности, персональные данные (ссылки ведут на утрачивающие силу нормы о случаях, когда уведомление не требовалось):
• своих работников;
• клиентов (когда данные о них нужны исключительно для заключения и исполнения договоров);
• физлиц, которые разрешили их распространять;
• физлиц — только в части Ф.И.О.;
• физлиц — для однократного пропуска на территорию или в аналогичных целях.
Если для обработки персональных данных не используют средства автоматизации, уведомлять ведомство не нужно. Например, данные о посетителях организации записывают в бумажный журнал при выдаче им разовых пропусков.
2. Скорректировали требования к содержанию уведомления. Если данные будут обрабатывать в разных целях, то для каждой из них понадобится указать:
• категорию данных и их субъектов;
• правовое основание обработки;
• перечень действий с данными и способы их обработки.
Если у физлиц или юрлиц есть доступ к персональным данным в государственных (муниципальных) информационных системах или они обрабатывают данные из этих систем по договору, Ф.И.О. таких физлиц (наименование юрлиц) нужно привести в уведомлении.
3. В законе закрепили положение о том, что формы уведомлений должен установить Роскомнадзор (пока действует рекомендуемая форма, которую можно заполнить и подать через портал персональных данных).
Локальные акты по вопросам обработки персональных данных
В законе конкретизировали требование о том, что локальные акты должны содержать:
• категории и перечни обрабатываемых данных;
• категории субъектов данных;
• способы и сроки обработки, хранения данных;
• порядок их уничтожения.
Эти положения нужно установить для каждой цели обработки данных.
Если компания собирает персональные данные граждан через свой сайт, проверьте, где именно на сайте опубликован документ о политике обработки данных и сведения о реализуемых компанией требованиях к их защите.
Такая информация должна быть опубликована в том числе на страницах сайта, где непосредственно идет сбор персональных данных (например, на страницах с формами, которые заполняют пользователи).
Обязанности в случае компрометации персональных данных
У компании есть 24 часа с момента происшествия, чтобы сообщить в Роскомнадзор:
• об инциденте;
• его предполагаемой причине и вреде, причиненном субъектам данных;
• мерах по устранению последствий инцидента;
• представителе компании, который уполномочен взаимодействовать с Роскомнадзором по вопросам, связанным с происшествием.
У компании есть 72 часа с момента инцидента, чтобы провести внутреннее расследование и сообщить в Роскомнадзор о его результатах, а также о виновниках (при наличии).
Компания обязана взаимодействовать с госсистемой обнаружения компьютерных атак (ГосСОПКА), в том числе направлять сообщения об утечке данных. Механизм взаимодействия определит ФСБ.
Читайте полный обзор в КонсультантПлюс:
Персональные данные: какие изменения учесть компаниям с 1 сентября
Сегодня
Практика коллегии по экономическим спорам ВС РФ: обзор за сентябрь
Когда дополнительный выпуск акций может считаться злоупотреблением? Возможно ли ограничить сумму досрочного закрытия лизинговой сделки? Учитывается ли удорожание выведенных активов при расчете убытков?
Сегодня
Какие схемы ухода от налогов увидели суды: интересные споры за 2024 - 2025 годы
Одни суды соглашались, что под видом подотчетных сумм и займов выдавали зарплату. Другие считали фиктивным создание филиала для утраты права на УСН и для возмещения НДС. Схемой ухода от налогов также признавали включение в резерв долга взаимозависимых лиц.
Сегодня
Минцифры: для защиты аккаунта на Госуслугах можно подключить новую опцию
14 октября 2025 года ведомство сообщило, что появилась функция "Доверенный контакт".
15 октября
Госзакупки услуг общепита
ФАС напомнила о сроке привлечения к ответственности за нарушения КоАП РФ.
15 октября
ВС РФ признал надлежащим судебное извещение, которое не было получено из-за неполного адреса в ЕГРЮЛ
По решению суда на участок компании обратили взыскание. Она пропустила срок обжалования и попросила восстановить его со ссылкой на неверное уведомление о начавшемся процессе. Апелляция и кассация отказали.
