С 1 марта 2023 года в силу вступает норма № 266-ФЗ о запрете включать персональные данные в выписки из ЕГРН. Но это не единственное изменение, которое закон внёс в работу с ПДн. Главные нововведения обсудили члены Ассоциации «Р1» на закрытом эфире. Читайте о темах диалога с экспертом.

Уведомить Роскомнадзор о начале и об окончании обработки ПДн

Исполнительный директор Ассоциации «Р1» Ирэн Парсамян рассказала членам объединения об изменениях в нормативно-правовых актах по обработке персональных данных. Они введены Федеральным законом от 14.07.2022 № 266-ФЗ: часть норм начала действовать с 1 сентября 2022 года. Другие вступят в силу 1 марта 2023 года. Тема актуальная, ведь нарушение правил обработки ПДн влечёт за собой административную и уголовную ответственность.

Первое изменение, которое обсудили участники закрытого эфира, – обязанность УО информировать Роскомнадзор о статусе оператора, который обрабатывает ПДн работников в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ. Сделать это необходимо в электронном виде на сайте или отправить на бумажном носителе по почте.

«Под обработкой ПДн понимаются: сбор, запись, накопление, уточнение, обновление, изменение, использование, передача, распространение, предоставление, доступ, обезличивание, блокирование, удаление и уничтожение персональных данных. Соответственно, любой вид действий с ПДн является обработкой», – отметила Ирэн Парсамян.

Теперь УО и ТСЖ должны отправлять в Роскомнадзор три уведомления:

  1. О начале обработки персональных данных.
  2. Об окончании обработки ПДн (ч. 5.1 ст. 121 № 152-ФЗ).
  3. Об изменениях, которые вносятся в персональные данные (ч. 7 ст. 22 № 152-ФЗ).

Если под управлением УО появился новый многоквартирный дом, организация обязана сообщить об этом в Роскомнадзор и уведомить ведомство об изменении в обработке ПДн.

При каких условиях УО вправе работать с персональными данными жителей
При каких условиях УО вправе работать с персональными данными жителей
13424
1

Назначить ответственного за обработку ПДн сотрудников и собственников помещений в МКД

Ирэн Парсамян отметила, что согласно № 152-ФЗ руководитель компании должен назначить ответственного за обработку персональных данных и утвердить политику по такому виду деятельности. Такой документ может касаться сразу всех субъектов ПДн или быть отдельным для каждой группы: для жителей домов, посетителей сайта, сотрудников.

Лицо, которое в управляющей организации несёт ответственность за обработку персональных данных, должно:

  • контролировать работу с ПДн, обеспечить их безопасность при помощи автоматических и неавтоматических систем защиты;
  • знакомить сотрудников, которые работают с данными, с НПА и локальными актами;
  • публиковать политику обработки персональных данных на сайте организации.

На закрытой встрече также подробно обсудили, что ответственное за работу с ПДн лицо должно делать в случае увольнении сотрудников или при утрате персональных данных.

Можно ли в МВД получить персональные данные потребителей ЖКУ
Можно ли в МВД получить персональные данные потребителей ЖКУ
8686
0

При утечке персональных данных – сообщить об этом в Роскомнадзор

Во время эфира Ирэн Парсамян рассказала об утверждённом плане, которому должны следовать организации при обнаружении утечки персональных данных. Лицо, которое занималось обработкой ПДн, обязано сообщить об этом в Роскомнадзор в течение 24 часов с момента установления такого факта. В ведомство необходимо уведомить:

  • о факте утечки;
  • о принятых мерах;
  • о контактном лице, которое будет работать по данной теме с Роскомнадзором.

В течение 72 часов в Роскомнадзор нужно сообщить о результатах внутреннего расследования и лицах, по чьей вине произошла утечка ПДн (ст. 18.1 № 152-ФЗ).

15+ способов для УО и ТСЖ получить персональные данные жителей дома
15+ способов для УО и ТСЖ получить персональные данные жителей дома
17900
3

Привести форму согласия на обработку персональных данных в соответствие с № 152-ФЗ

Участники эфира обсудили, какие сведения должны быть включены в форму согласия на обработку персональных данных: «Необходимо всегда прописывать цель, ФИО или наименование организации, адрес обрабатывающего ПДн, а также указать способ и перечень обработки персональных данных. Неизвестно, с каким видом обработки можно столкнуться, поэтому я рекомендую указывать всё», – посоветовала Ирэн Парсамян членам Ассоциации «Р1».

В соответствии с изменениями, в форму согласия по обработке ПДн необходимо добавить:

  • срок действия документа и порядок его отзыва;
  • возможность отказа от рассылок, а также отзыва своих персональных данных.

Среди нововведений также есть пункты о том, что организация не может утилизировать личные дела уволившихся сотрудников: они передаются в архив. При этом любые дополнения в согласии на обработку ПДн должны быть предметными и однозначными, без расплывчатых формулировок.

Другие темы – в записи онлайн-эфира

Во время трансляции Ирэн Парсамян также рассказала:

  • о подтверждении факта уничтожения персональных данных и о том, какую информацию нужно указать при регистрации таких действий;
  • о сроке хранения актов и журналов о регистрации событий;
  • о трансграничной передаче данных и уведомлении об этом Роскомнадзора;
  • о странах, обеспечивающих надёжную обработку ПДн;
  • о периодичности проверок регистрации операторов в реестре;
  • о действиях УО, когда утечку данных допустило третье лицо, с которым у компании заключён договор на работы или услуги.

Материалы с эфира доступны только членам Ассоциации «Р1». Чтобы быть в курсе изменений в НПА, принимать участие в закрытых мероприятиях, получать материалы с онлайн-семинаров, а также пользоваться другими преимуществами членов объединения – вступайте в Ассоциацию «Р1».