Самые радикальные поправки претерпела статья 22 «Уведомление об обработке персональных данных» Федерального закона 152-ФЗ «О персональных данных», считает Анастасия Николаева, ведущий консультант по информационной безопасности AKTIV.CONSULTING (входит в компанию «Актив»).
Организации, которые уже осуществляли обработку персональных данных, но не уведомляли Роскомнадзор, после вступления в силу изменений в законе должны будут в ближайшее время привести свои процессы обработки персональных данных в соответствие требованиям законодательства, а также сформировать и отправить уведомление, говорит эксперт.
«Также в результате изменения законодательства, а именно статьи 6 "Условия обработки персональных данных", организации должны будут пересмотреть процесс поручения обработки персональных данных другому лицу с согласия субъекта персональных данных. Им предстоит актуализировать перечень контрагентов, которым организация поручает обработку ПДн, уделив особое внимание иностранным юридическим лицам и/или физическим лицам, а затем внести изменения в договоры и соглашения с контрагентами. Кроме того, нужно обратить внимание на важное изменение в законе, касающееся регламентации срока предоставления оператором субъекту переданной информации по его запросу», – объясняет Анастасия Николаева.
С 1 сентября появляется новое требование по уведомлению Роскомнадзора об утечках ПДн, в связи с чем организациям необходимо регламентировать процесс по выявлению и проведению расследования нарушений требований ИБ по утечке ПДн.
«И, наверное, ожидаемое для кого-то изменение – теперь 152-ФЗ говорит о том, что организация не может сделать обязательным предоставление клиентами своих биометрических данных», – отмечает эксперт.