ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ В КООПЕРАТИВНЫХ ОРГАНИЗАЦИЯХ
Кооперативные организации, как операторы обработки персональных данных должны уведомить Роскомнадзор о своем намерении. С 01.09.2022 года изменения по персональным данным коснулись широкого круга вопросов. Среди них: когда нужно уведомить о намерении обрабатывать персональные данные; что включать в локальные акты; что делать, если произошла утечка данных.
Уведомление об обработке персональных данных: Из Закона о персональных данных исключили большинство случаев, когда организациям не нужно было уведомлять Роскомнадзор о намерении начать обрабатывать персональные данные. Таким образом, следует проинформировать ведомство, если организация собирается обрабатывать персональные данные:
- клиентов (когда данные о них нужны исключительно для заключения и исполнения договоров);
- физлиц, которые разрешили их распространять;
- физлиц - только в части Ф.И.О.;
- физлиц - для однократного пропуска на территорию или в аналогичных целях.
Роскомнадзор указал: уведомление нужно подать также и тем, кто уже обрабатывал персональные данные в ситуациях, которые ранее считались исключением. Крайний срок подачи уведомления не определен. Скорректировали требования к содержанию уведомления. Если данные будут обрабатывать в разных целях, то для каждой из них понадобится указать:
- категорию данных и их субъектов;
- правовое основание обработки;
- перечень действий с данными и способы их обработки.
В законе закрепили положение о том, что формы уведомлений должен установить Роскомнадзор (пока действует рекомендуемая форма, которую можно заполнить и подать через портал персональных данных (https://pd.rkn.gov.ru/operators-registry/notification/)).
Локальные акты по вопросам обработки персональных данных
В законе конкретизировали требование о том, что локальные акты должны содержать:
- категории и перечни обрабатываемых данных;
- категории субъектов данных;
- способы и сроки обработки, хранения данных;
- порядок их уничтожения.
Обязанности в случае компрометации персональных данных: У организации есть 24 часа с момента происшествия, чтобы сообщить в Роскомнадзор и 72 часа с момента инцидента, чтобы провести внутреннее расследование и сообщить в Роскомнадзор о его результатах, а также о виновниках (при наличии). На сайте Роскомнадзора доступны специальные электронные формы подачи уведомлений (https://pd.rkn.gov.ru/incidents/form/).
Согласие на обработку персональных данных: В число требований к согласию включили то, что оно должно быть предметным и однозначным. Если получение согласия обязательно, организация должна разъяснить физлицу последствия не только отказа в предоставлении данных, но и отказа дать согласие на их обработку.
Прекращение обработки данных по требованию физлица: У организации есть 10 рабочих дней с момента получения требования физлица, чтобы прекратить обработку данных о нем или обеспечить прекращение обработки (если ее ведет другое лицо). Срок можно продлить в пределах 5 рабочих дней на основании мотивированного уведомления.