Материал раздела Основной
Карина Колобова, Анастасия Мырсина и Анастасия Гаврилова

Закон о персональных данных ужесточился. Как выполнить его требования

В начале осени вступил в силу обновленный закон о персональных данных. Он вводит новые требования к компаниям, которые хранят и обрабатывают данные. Каких ошибок важно избежать при выполнении этих требований, рассказывают юристы BGP Litigation
Фото: Петр Ковалев / ТАСС
Фото: Петр Ковалев / ТАСС

Ошибка № 1. Оставить локальные акты и процессы неизменными

«Умные» финансы: как сохранить и приумножить накопления в кризис
Интенсивы 3 дня

Что изменилось

С 1 сентября в ФЗ «О персональных данных» появились новые требования к содержанию локальных актов оператора по обработке персональных данных, а также к правилам реагирования на утечки. Теперь в политике конфиденциальности оператора должны быть описаны все категории и полный перечень обрабатываемых данных, а также условия их обработки для каждой цели. Раньше это было не требованием, а рекомендацией Роскомнадзора.

Законодатель также отдельно уточнил, что политика конфиденциальности должна быть размещена на всех страницах сайта, где выполняется сбор персональных данных.

Изменился также срок, в который оператор должен отвечать на запросы Роскомнадзора и людей, чьи данные обрабатываются. Теперь он составляет всего десять дней, к которым при необходимости можно добавить еще пять. Это значительно меньше, чем было ранее (до 1 сентября у операторов было 30 дней на ответ).

Помимо этого, изменения коснулись порядка реагирования на утечки данных. Операторы теперь обязаны сообщать об утечках в Роскомнадзор не позднее, чем через 24 часа, а уже через 72 часа предоставлять список мер, предпринятых по расследованию причин и устранению последствий.

Что делать компаниям

1. Пересмотрите политики и другие локальные акты, касающиеся обработки персональных данных, реагирования на запросы и случаи утечки.

2. Укажите в локальных актах все категории, а также полный перечень обрабатываемых данных и условия их обработки.

3. Скорректируйте в локальных актах сроки реагирования на запросы физлиц и на случаи утечек: не более десяти рабочих дней.

4. Проверьте, размещена ли политика конфиденциальности на каждой странице сайте, где ведется сбор персональных данных (включая файлы cookie).