К чему нужно готовиться уже сейчас в связи с реформой Закона о персональных данных?
С 1 сентября все, кто обрабатывает персональные данные, должны учитывать следующие изменения в Закон о персональных данных:
1. Уведомления об утечках персональных данных
Теперь об утечках персональных данных нужно будет уведомлять Роскомнадзор. С момента выявления утечки нужно уведомить:
о произошедшем инциденте — в течение 24 часов
о результатах внутреннего расследования — в течение 72 часов
С этой же даты о компьютерных утечках персональных данных нужно будет уведомлять ГосСОПКА (государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ).
Порядок уведомления должен быть принят в ближайшее время.
Если в компании не настроены процессы выявления утечек персональных данных, самое время сделать это.
2. Уведомления об обработке персональных данных
Теперь уведомлять Роскомнадзор об обработке персональных данных нужно будет практически во всех случаях.
Раньше оператор освобождался от обязанности направлять уведомление, например, при обработке персональных данных работников в соответствии с трудовым законодательством.
С 1 сентября уведомление направляется во всех случаях, за исключением: обработки персональных данных в государственных информационных системах, без использования средств автоматизации и для целей транспортной безопасности.
Если компания еще не подавала уведомление в Роскомнадзор, до 1 сентября необходимо это сделать.
3. Сроки реагирования на запросы
Изменяются сроки реагирования операторов персональных данных на запросы.
В течение 10 рабочих дней с даты получения запроса нужно будет направить:
- ответ о наличии персональных данных, относящихся к субъекту персональных данных, и предоставлении возможности ознакомления с ними;
- мотивированный ответ при отказе в предоставлении информации о наличии персональных данных или персональных данных;
- необходимую информацию по запросу Роскомнадзора.
Срок может быть продлен не более чем на 5 рабочих дней в случае мотивированного уведомления.
Информацию об изменении сроков нужно довести до сведения лиц, отвечающих за обработку персональных данных в компании. Если сроки указаны в политике конфиденциальности, потребуется внести изменения.
3. Размещение политики конфиденциальности на сайте
Политику конфиденциальности нужно обязательно размещать на всех страницах сайта, с использованием которых осуществляется сбор персональных данных.
Раньше политику конфиденциальности можно было размещать в каком-то одном разделе на сайте. С 1 сентября ее нужно размещать на всех страницах, где собираются персональные данные.
Рекомендуем проверить сайт, чтобы исключить претензии со стороны регулятора.