Уведомлять Роскомнадзор о планах обрабатывать личную информацию придется и в случаях, когда эти сведения (абз. 2 пп. "а" п. 18 ст. 1 проекта):
Сейчас в этих и некоторых других случаях извещать ведомство не нужно.
Оператор должен будет до начала обработки личных сведений, которые он получил от другого источника, направить перечень таких данных их субъекту. Необходимость передавать остальную информацию и случаи освобождения от обязанности сохранят (пп. "б" п. 13 ст. 1 проекта).
Нужно будет работать с госсистемой обнаружения, предупреждения и ликвидации последствий кибератак на информресурсы РФ. В частности, через эту систему придется сообщать об инцидентах, из-за которых произошла утечка личных сведений (абз. 2 п. 15 ст. 1 проекта).
Если оператор выявит, например, случайную передачу такой информации, уведомит об этом Роскомнадзор не позже 24 ч с момента наступления инцидента. Речь идет о ситуациях, которые повлекли нарушение прав субъектов персданных. В сообщении оператор среди прочего укажет, почему произошла утечка и какой вред причинили гражданам (пп. "г" п. 17 ст. 1 проекта).
Оператору запретят отказывать физлицу в услугах, если оно не хочет предоставлять биометрические сведения или соглашаться на обработку персданных, если по закону получать согласие на нее необязательно (пп. "в" п. 9 ст. 1 проекта).
Введут общее правило о том, что нельзя обрабатывать биометрические сведения несовершеннолетних (пп. "б" п. 9 ст. 1 проекта).
С 30 суток до 10 рабочих дней сократят время на то, чтобы оператор (п. 16 ст. 1 проекта):