1 сентября 2022 года вступят в силу июльские поправки в Федеральный закон от 27 июля 2006 г. № 152-ФЗ "О персональных данных". Одно из главных изменений – уведомление в Роскомнадзор об обработке персональных данных (далее также ПД) теперь надо будет подавать практически во всех случаях обработки ПД.

По сути, оставили только неавтоматизированную обработку без обязательной подачи уведомления. Во всех остальных случаях - добро пожаловать в реестр операторов пдн.

Помимо этого, поправками:
- установлена обязанность операторов персональных данных обеспечивать взаимодействие с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА), включая информирование о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПД;

Обязательно уведомлять об инцидентах ИБ. Как это исполнять - пока непонятно.

- введены дополнительные обязанности оператора по устранению нарушений законодательства, допущенных при обработке ПД, по уточнению, блокированию и уничтожению ПД;

Актировать уничтожение и уточнение.

- скорректированы требования к согласию на обработку ПД (ранее от такого согласия требовалось быть конкретным, информированным и сознательным. Теперь оно должно быть еще и предметным, а также однозначным);

Это хорошо, но долго ещё будет непонятно кадровикам.

- уточнены требования к содержанию документов, определяющих политику оператора в отношении обработки ПД, локальных актов по вопросам обработки ПД.

Чем больше ясности, тем лучше.

Также с 1 сентября конкретизировано, где именно в соответствующей информационно-телекоммуникационной сети оператор, осуществляющий сбор ПД с использованием таких сетей, обязан опубликовать документ, определяющий его политику в отношении обработки ПД, и сведения о реализуемых требованиях к защите ПД. Согласно поправкам, опубликовать их необходимо "в том числе на страницах принадлежащего оператору сайта в интернете, с использованием которых осуществляется сбор ПД".

Теперь политику нужно публиковать не просто на сайте, а на тех страницах, с которых осуществляется сбор ПД. Если установлен счётчик - видимо, везде.

Установлен прямой запрет операторам на отказ гражданам в обслуживании при отказе субъекта персональных данных предоставить биометрические персональные данные и (или) дать согласие на обработку персональных данных, если такое предоставление не является обязательным.

Надо детальней почитать.

ч. 2 ст. 18.1 Закона о ПД в новой ред.
издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на операторов не предусмотренные законодательством Российской Федерации полномочия и обязанности;

Для каждой цели - своя категория субъектов, свой перечень пд. Свои сроки и свой порядок прекращения. Давно пора.
Что такое "не предусмотренные полномочия и обязанности" - хз.

Полный обзор изменений http://ivo.garant.ru/#/document/77188337/paragraph/27:0