ЗЗПП
С 1 сентября вступают в силу поправки в № 2300-1 от 07.02.92 «О защите прав потребителей». Может быть, этого нововведения ждали и не все, но его много и долго обсуждали, и вот свершилось.
С начала осени продавец будет не вправе отказать в продаже товара или услуги, если покупатель откажется предоставить персональные данные — личную информацию, номер телефона, адрес электронной почты и др.
Исключение составят случаи, когда такая обязанность предусмотрена законодательством или необходима для исполнения договора (например, нужна для отправки чека на e-mail или доставки товара).
Также в законе прописали перечень условий, которые ущемляют права потребителей, и которые запрещается включать в договор:
- оказание дополнительных услуг за плату без согласия покупателя;
- ограничение права потребителя на выбор способа и формы оплаты;
- уменьшение размера законной неустойки;
- установление обязательного досудебного порядка рассмотрения споров (если это не предусмотрено законом) и др.
Штрафы на предпринимателей за нарушения будут накладывать по ст. 14.8 КоАП, новая редакция которой заработает также с началом осени. Должностные лица и ИП заплатят 5-10 тыс., юрлица 30-50 тыс. рублей.
Закон о персональных данных
С 1 сентября заработают новые положения № 152-ФЗ от 27.07.06 «О персональных данных». Там нововведений намного больше, мы перечислим их вкратце. И рекомендуем обязательно обратиться к юристу, если вы каким-либо образом собираете и обрабатываете персональные данные. Наши юристы помогут вам подготовиться и составить все необходимые документы.
Кстати, в продолжении изменений в ЗЗПП, в закон о персональных данных ввели запрет на сбор биометрических слепков при продаже товаров и услуг, если сам гражданин против.
На кого распространяется закон
Раньше в законе не было прописано, где именно он действует и на кого распространяется. С 1 сентября его начнут применять в т.ч. к иностранным юридическим и физическим лицам, если обработка персональных данных осуществляется на основании договора с гражданином РФ или с его согласия.
О самом страшном
Это об утечках данных, которые всё равно случаются, как операторы ни стараются. Поправки в закон обязали операторов персданных взаимодействовать с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы.
В частности, информировать о неправомерных передачах персональных данных, даже прописали сроки:
- в течение суток уведомить Роскомнадзор о случившимся;
- в течение трёх суток провести расследование и отчитаться в ведомство о результатах;
- найти и передать сведения о лицах, которые стали причиной утечки (если удастся).
Сколько ждать ответа
С 30 до 10 суток сократится срок предоставления субъектам персданных и Роскомнадзору сведений от операторов. Срок может быть продлён на 5 рабочих дней, если представят уведомление с причинами отсрочки.
Также 10 рабочих дней даётся операторам на прекращение обработки персональных данных, если с таким требованием к ним обратится субъект этих данных.
Заграница не поможет
Обработчики персданных — это те, кто обрабатывают данные по поручениям операторов. Для иностранных обработчиков усилили ответственность — сейчас они ответственны только перед оператором, а с начала осени будут и перед субъектом персональных данных тоже.
Поручите, распишитесь
Появятся новые требования к поручениям на обработку ПД — операторы должны будут определять перечень данных и действий, которые будут совершаться обработчиком. Нужно будет закрепить обязанность обработчика соблюдать конфиденциальность.
А также в поручении нужно устанавливать обязанность по запросу оператора предоставлять документы и информацию, подтверждающие обеспечение безопасности, и уведомлять о её нарушении.
Уведомление строго обязательно
В общем случае, прежде чем приступить к обработке персданных, оператор должен уведомить об этом Роскомнадзор. Но есть ситуации, когда уведомление не требуется. Сегодня перечень довольно широкий, но с 1 сентября он сократится до двух пунктов:
- обработка данных, включённых в госинформсистемы, созданные для защиты безопасности и общественного порядка;
- когда оператор осуществляет обработку без использования средств автоматизации.
Согласие требуется
Сейчас согласие на обработку персональных данных должно быть:
- сознательным — молчание или бездействие не могут считаться согласием на обработку персональных данных;
- информированным — согласие оформляется отдельно с указанием разрешенных для обработки данных;
- конкретным — можно установить запреты на передачу данных третьим лицам.
К этому списку добавляются предметность и однозначность.
Всё прозрачно
Политика обработки персональных данных, которые разрабатывают операторы, должна быть размещена на самых видных местах. Например, на сайте — на всех страницах, где производится сбор данных.
Есть новые требования и к составу документа — операторы должны будут указывать там категорию, перечень обрабатываемых данных и субъектов данных, способы и сроки обработки и хранения, порядок уничтожения данных и др.