С 1 марта 2023 года в силу вступает норма № 266-ФЗ о запрете включать персональные данные в выписки из ЕГРН. Но это не единственное изменение, которое закон внёс в работу с ПДн. Главные нововведения обсудили члены Ассоциации «Р1» на закрытом эфире. Читайте о темах диалога с экспертом.
Уведомить Роскомнадзор о начале и об окончании обработки ПДн
Исполнительный директор Ассоциации «Р1» Ирэн Парсамян рассказала членам объединения об изменениях в нормативно-правовых актах по обработке персональных данных. Они введены Федеральным законом от 14.07.2022 № 266-ФЗ: часть норм начала действовать с 1 сентября 2022 года. Другие вступят в силу 1 марта 2023 года. Тема актуальная, ведь нарушение правил обработки ПДн влечёт за собой административную и уголовную ответственность.
Первое изменение, которое обсудили участники закрытого эфира, – обязанность УО информировать Роскомнадзор о статусе оператора, который обрабатывает ПДн работников в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ. Сделать это необходимо в электронном виде на сайте или отправить на бумажном носителе по почте.
«Под обработкой ПДн понимаются: сбор, запись, накопление, уточнение, обновление, изменение, использование, передача, распространение, предоставление, доступ, обезличивание, блокирование, удаление и уничтожение персональных данных. Соответственно, любой вид действий с ПДн является обработкой», – отметила Ирэн Парсамян.
Теперь УО и ТСЖ должны отправлять в Роскомнадзор три уведомления:
- О начале обработки персональных данных.
- Об окончании обработки ПДн (ч. 5.1 ст. 121 № 152-ФЗ).
- Об изменениях, которые вносятся в персональные данные (ч. 7 ст. 22 № 152-ФЗ).
Если под управлением УО появился новый многоквартирный дом, организация обязана сообщить об этом в Роскомнадзор и уведомить ведомство об изменении в обработке ПДн.
При каких условиях УО вправе работать с персональными данными жителей130591
Назначить ответственного за обработку ПДн сотрудников и собственников помещений в МКД
Ирэн Парсамян отметила, что согласно № 152-ФЗ руководитель компании должен назначить ответственного за обработку персональных данных и утвердить политику по такому виду деятельности. Такой документ может касаться сразу всех субъектов ПДн или быть отдельным для каждой группы: для жителей домов, посетителей сайта, сотрудников.
Лицо, которое в управляющей организации несёт ответственность за обработку персональных данных, должно:
- контролировать работу с ПДн, обеспечить их безопасность при помощи автоматических и неавтоматических систем защиты;
- знакомить сотрудников, которые работают с данными, с НПА и локальными актами;
- публиковать политику обработки персональных данных на сайте организации.
На закрытой встрече также подробно обсудили, что ответственное за работу с ПДн лицо должно делать в случае увольнении сотрудников или при утрате персональных данных.
Можно ли в МВД получить персональные данные потребителей ЖКУ84970
При утечке персональных данных – сообщить об этом в Роскомнадзор
Во время эфира Ирэн Парсамян рассказала об утверждённом плане, которому должны следовать организации при обнаружении утечки персональных данных. Лицо, которое занималось обработкой ПДн, обязано сообщить об этом в Роскомнадзор в течение 24 часов с момента установления такого факта. В ведомство необходимо уведомить:
- о факте утечки;
- о принятых мерах;
- о контактном лице, которое будет работать по данной теме с Роскомнадзором.
В течение 72 часов в Роскомнадзор нужно сообщить о результатах внутреннего расследования и лицах, по чьей вине произошла утечка ПДн (ст. 18.1 № 152-ФЗ).
15+ способов для УО и ТСЖ получить персональные данные жителей дома176493
Привести форму согласия на обработку персональных данных в соответствие с № 152-ФЗ
Участники эфира обсудили, какие сведения должны быть включены в форму согласия на обработку персональных данных: «Необходимо всегда прописывать цель, ФИО или наименование организации, адрес обрабатывающего ПДн, а также указать способ и перечень обработки персональных данных. Неизвестно, с каким видом обработки можно столкнуться, поэтому я рекомендую указывать всё», – посоветовала Ирэн Парсамян членам Ассоциации «Р1».
В соответствии с изменениями, в форму согласия по обработке ПДн необходимо добавить:
- срок действия документа и порядок его отзыва;
- возможность отказа от рассылок, а также отзыва своих персональных данных.
Среди нововведений также есть пункты о том, что организация не может утилизировать личные дела уволившихся сотрудников: они передаются в архив. При этом любые дополнения в согласии на обработку ПДн должны быть предметными и однозначными, без расплывчатых формулировок.
Другие темы – в записи онлайн-эфира
Во время трансляции Ирэн Парсамян также рассказала:
- о подтверждении факта уничтожения персональных данных и о том, какую информацию нужно указать при регистрации таких действий;
- о сроке хранения актов и журналов о регистрации событий;
- о трансграничной передаче данных и уведомлении об этом Роскомнадзора;
- о странах, обеспечивающих надёжную обработку ПДн;
- о периодичности проверок регистрации операторов в реестре;
- о действиях УО, когда утечку данных допустило третье лицо, с которым у компании заключён договор на работы или услуги.
Материалы с эфира доступны только членам Ассоциации «Р1». Чтобы быть в курсе изменений в НПА, принимать участие в закрытых мероприятиях, получать материалы с онлайн-семинаров, а также пользоваться другими преимуществами членов объединения – вступайте в Ассоциацию «Р1».