2022 год был богат на события, мы столкнулись с масштабными утечками персональных данных и разнообразными внешними угрозами информационной безопасности. Законодательство изменилось в соответствии с новыми обстоятельствами. Произошло то, чего все давно ждали: сфера действия закона о персональных данных была расширена.
Автор: Ксения Шудрова, эксперт по информационной безопасности
Не пропустите:
Персональные данные в 2024 году. Чек-лист
ФЗ № 152 "О персональных данных" (далее – Закон) претерпел некоторые изменения, теперь его положения применяются к обработке персональных данных граждан Российской Федерации, осуществляемой иностранными юридическими лицами или иностранными физическими лицами (ч. 1.1, ст. 1). С 1 сентября 2022 г. вступило в силу множество других изменений Закона, которые были введены Федеральным законом от 14.07.2022 г. № 266-ФЗ "О внесении изменений в Федеральный закон "О персональных данных..."; чтобы в них не запутаться, для операторов был составлен чек-лист основных мероприятий.
В новой редакции Закона были конкретизированы требования ко всем обработчикам, как к отечественным, так и к иностранным. В ч. 3 ст. 6 указано, что именно должно быть определено в поручении на обработку (перечень персональных данных, перечень действий с персональными данными, цели их обработки и т.д.). Российский обработчик несет ответственность перед оператором, а тот, в свою очередь, перед субъектами. В случае если иностранное физическое или юридическое лицо является обработчиком, оно будет нести совместную с оператором ответственность перед субъектами персональных данных (ч. 6, ст. 6).
У субъекта появилось право отказать в предоставлении биометрических персональных данных. C сентября 2022 г. предоставление биометрических персональных данных не может быть обязательным, за исключением случаев, предусмотренных ч. 2 ст. 11 Закона. При этом оператор не вправе отказывать в обслуживании субъекту, который отказался предоставлять биометрические персональные данные и (или) согласие на их обработку (ч. 3, ст. 11).
Обратите внимание на изменения в ст. 6: теперь заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных.
Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным (ст. 9). Если предоставление персональных данных и (или) получение оператором согласия на обработку персональных данных являются обязательными, то оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку (ст. 18).
До начала обработки персональных данных, полученных не от субъекта персональных данных, оператор обязан предоставить субъекту персональных данных перечень важной информации об этом процессе, включающий цель обработки, наименование оператора, а с сентября в обязательном порядке еще и перечень персональных данных (ч. 3, ст. 18).
В какие сроки нужно отвечать на запросы субъекта? К сожалению, срок сократился до 10 рабочих дней, он может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Оператор также должен предоставлять по запросу информацию о способах исполнения оператором обязанностей, установленных ст. 18.1 Закона (ст. 14, ст. 20). Требование об уничтожении персональных данных тоже должно быть выполнено в 10-дневный срок.
Документы не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на операторов не предусмотренные законодательством Российской Федерации полномочия и обязанности. В комплект документов должны входить:
Теперь подлежат обязательному согласованию нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных, принятые государственными органами, Банком России, органами местного самоуправления, если указанные нормативные правовые акты регулируют отношения, связанные с осуществлением трансграничной передачи персональных данных, обработкой специальных категорий персональных данных, биометрических персональных данных, персональных данных несовершеннолетних, предоставлением, распространением персональных данных, полученных в результате обезличивания (ст. 4).
Требования будут уточнены к марту 2023 года.
Оператор, осуществляющий сбор персональных данных с использованием сайта, обязан опубликовать на страницах сайта политику в отношении обработки персональных данных (ст. 18.1).
Можно ли не подавать уведомление? Исключений осталось совсем немного (ст. 22). Привычная нам обработка в целях осуществления трудовых отношений или исполнения обязательств по договору больше не является причиной обработки без уведомления. Осталось лишь три случая:
Изменились требования к содержанию уведомления. Теперь вся необходимая информация указывается оператором для каждой цели отдельно (ст. 22). Дополнительно потребуется указать фамилию, имя, отчество физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах. Формы уведомлений (об обработке, о внесении изменений, о прекращении обработки) устанавливаются Роскомнадзором.
Добавлена обязанность уведомления Роскомнадзора в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (ч. 3.1 ст. 21). Времени не так уж много: 24 часа на информирование регулятора, 72 часа на исправление ситуации. Оператор также обязан передать информацию в ГосСОПКА (ст. 19).
С 01.03.2023 г. вступят в силу дополнительные требования, внесенные Федеральным законом № 266-ФЗ.
Оператор до начала осуществления деятельности по трансграничной передаче персональных данных обязан будет уведомить Роскомнадзор о своем намерении осуществлять трансграничную передачу персональных данных. Уведомление направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. В ст. 12 будут указаны требования к уведомлению.
Оператор до подачи уведомления обязан будет получить от иностранных лиц следующие сведения:
Ожидается издание нормативно-правового акта, определяющего оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона (ст. 18.1).
Ожидается утверждение документа, определяющего требования к подтверждению уничтожения персональных данных, скомпрометированных в результате инцидентов (ст. 21).
В случае изменения сведений, указанных в уведомлении, оператор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения, обязан будет уведомить Роскомнадзор обо всех произошедших за указанный период изменениях. В случае прекращения обработки персональных данных оператор обязан будет уведомить об этом в течение 10 рабочих дней с даты прекращения обработки персональных данных (ст. 22).
Ожидается издание порядка, определяющего условия взаимодействия регуляторов с операторами в рамках ведения реестра инцидентов (ст. 23).