1.Использование новой формы уведомления (ч. 3 и 3.1 статьи 22 Закона о персональных данных) : В обязательном порядке указывается категория персональных данных и субъектов, чьи данные обрабатываете, правовое основание их обработки и перечень действий с этими данными . Дополнительно указываются категории персональных данных, которые будут запрашиваться и у третьих лиц (п. 2.1 ч. 3 ст. 18 Закона о персональных данных).
2.Информирование Роскомнадзора об изменении данных субъекта:
в срок до 15-го числа месяца, следующего за месяцем, когда произошли изменения. В случае прекращения обработки данных, уведомление должно поступить в течение 10 рабочих дней (ч. 7 ст. 22 Закона о персональных данных).
3.Разработка процедуры по предотвращению нарушений закона: Утверждение локального акта оператором персональных данных с установлением процедуры по предотвращению и выявлению нарушений закона о персональных данных. Такие положения можно включить уже в действующий акт или Положение о защите персональных данных (п. 2 ч. 1 ст. 18.1 Закона о персональных данных).
4.Передача отчетов о кибератаках и утечке данных:
а) Обязанность работы с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак, с помощью которой операторы сообщают об инцидентах, из-за которых произошла утечка личных сведений субъектов персональных данных.
б) В случае неправомерной передаче данных, уведомление подаётся в Роскомнадзор.
в) В течение 48 часов в Роскомнадзор работодателем подаётся отчёт о проведении внутреннего расследования (ч. 12 – 14 ст. 19, ч. 3.1 ст. 21 Закона о персональных данных).
5.Обязанность ответов на запросы Роскомнадзора в течение 10 рабочих дней согласно ст. 20 Закона о персональных данных. Ранее был установлен срок в 30 дней.
Дополнительный запрет для операторов персональных данных- НЕЛЬЗЯ заставлять субъекта предоставить биометрические персональные данные.
То есть работодатель не сможет без согласия сотрудника принудить его сделать фото на электронный пропуск или предоставить отпечатки пальцев для входа в офис. Сотрудник имеет право отказаться, а работодатель не имеет право его наказывать (ч. 3 ст. 11 Закона о персональных данных).