Документ
Федеральный закон от 14.07.2022 № 266-ФЗ
Комментарий
С 1 сентября 2022 года вступят в силу новые правила обработки и защиты персональных данных. Соответствующие изменения внесены в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ). Рассмотрим основные нововведения.
Случаев, когда персданные можно обрабатывать без уведомления Роскомнадзора, стало меньше
Согласно ч. 1 ст. 22 Закона № 152-ФЗ до начала обработки персональных данных оператор должен уведомить о своем намерении Роскомнадзор. Часть 2 этой же статьи предусматривает ряд случаев, когда уведомлять необязательно. С 1 сентября 2022 года этот список исключений станет меньше, из него уберут случаи обработки персональных данных:
- обрабатываемых в соответствии с трудовым законодательством;
- полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
- относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующим общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
- разрешенных субъектом персональных данных для распространения при условии соблюдения оператором запретов и условий, предусмотренных статьей 10.1 Закона № 152-ФЗ;
- включающих в себя только фамилии, имена и отчества субъектов персональных данных;
- необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
- включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем.
При обработке персональных данных в перечисленных случаях нужно будет сообщать в Роскомнадзор в общем порядке.
В самом уведомлении с 1 сентября 2022 года следующие сведения нужно будет указывать для каждой цели обработки персональных данных (ч. 3 ст. 22 Закона № 152-ФЗ):
- категории персональных данных;
- категории субъектов, персональные данные которых обрабатываются;
- правовое основание обработки персональных данных;
- перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных.
При этом в уведомлении нужно будет указывать:
- Ф. И. О. физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах.
Иностранцы должны соблюдать правила обработки персональных данных
Статья 1 Закона № 152-ФЗ дополнена ч. 1.1, согласно которой все положения этого закона применяются к случаям, когда персональные данные граждан России обрабатываются иностранными организациями и физлицами на основании договора (соглашения), стороной которого является гражданин России, или на основании согласия такого гражданина на обработку его персональных данных. Это значит, что вне зависимости от страны, в которой зарегистрирована организация, она должна соблюдать все требования закона, включая получение согласия на обработку персональных данных, сообщение в Роскомнадзор о намерении их обрабатывать и т. д. Действующих инструментов для контроля за соблюдением иностранными компаниями этих требований пока нет, однако в случае нарушения к ним могут быть применены санкции в виде штрафов или запрета деятельности.
Правила обработки персональных данных третьим лицом стали строже
Закон № 152-ФЗ позволяет операторам персональных данных поручить их обработку третьим лицам при определенных условиях (ч. 3 ст. 6 Закона № 152-ФЗ). Для этого с третьим лицом нужно заключить соответствующий договор. Также обработка может происходить на основе акта государственного или муниципального органа либо на основании поручения оператора персональных данных. С 1 сентября 2022 года в таком акте (поручении) необходимо отдельно оговаривать:
- перечень обрабатываемых персональных данных;
- обязанность третьего лица предоставлять по запросу оператора персональных данных в течение срока действия поручения документы и иную информацию, подтверждающую осуществление мер и соблюдение требований по их защите;
- обязанность третьего лица соблюдать требования ч. 5 ст. 18, ст. 18.1 Закона № 152-ФЗ, возлагаемые на оператора персональных данных;
- обязанность третьего лица уведомить оператора персональных данных о случаях неправомерной или случайной передачи персональных данных в сроки, установленные новой ч. 3.1 ст. 21 Закона № 152-ФЗ. В эти же сроки оператор обязан уведомить об этом Роскомнадзор:
- в течение 24 часов – о произошедшем инциденте, его предполагаемых причинах, о принятых мерах по установлению последствий этого инцидента. Кроме того, оператор должен представить сведения о лице, уполномоченном оператором взаимодействовать с Роскомнадзором по факту этого инцидента;
- в течение 72 часов – о результатах внутреннего расследования выявленного инцидента. Также следует предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (если таковые есть).
Российский оператор персданных отвечает за их обработку наряду с иностранным оператором
Если российский оператор персональных данных поручает их обработку иностранному физическому или юридическому лицу, ответственность перед субъектом персональных данных за действия такого лица несет как само это лицо, так и российский оператор персональных данных (новая ч. 6 ст. 6 Закона № 152-ФЗ).
Отказ в предоставлении персональных данных не является основанием для отказа в обслуживании
С 1 сентября 2022 года предоставление биометрических персональных данных не может быть обязательным. Исключение составляют случаи, предусмотренные ч. 2 ст. 11 Закона № 152-ФЗ (то есть при обработке биометрических персональных данных в связи с осуществлением правосудия, при въезде и выезде из России и других законодательно установленных случаев).
Отказ потребителя от предоставления биометрических персональных данных, а также отказ подписать согласие на обработку персональных данных не являются законным основанием для отказа в его обслуживании, если по закону получение таких персональных данных не является обязательным. В действующей редакции Закона № 152-ФЗ такой нормы нет.
Трансграничная передача персональных данных по новым правилам
Обновленная ст. 12 Закона № 152-ФЗ, регулирующая порядок трансграничной (международной) передачи персональных данных вступит в силу позднее остальных изменений в законе, а именно с 01.03.2023. Теперь в ней подробно регламентируются обязанности оператора персональных данных при их передаче за границу, а также правила и порядок запрета или ограничения Роскомнадзором такой передачи.
Установлен срок предоставления субъекту персданных информации об их обработке
Субъект персональных данных имеет право потребовать от оператора персональных данных предоставить ему информацию относительно обработки его персональных данных (ч. 7 ст. 14 Закона № 152-ФЗ). Теперь в законе будет срок предоставления такой информации – сделать это нужно будет в течение 10 рабочих дней со дня получения оператором соответствующего запроса. Этот срок может быть продлен, но не более чем на 5 рабочих дней в случае направления оператором в адрес субъекта персданных мотивированного уведомления с указанием причин продления (ч. 3 ст. 14 Закона № 152-ФЗ). Сейчас такой срок законом не определен.
Субъекту персональных данных нужно будет объяснять последствия отказа в предоставлении данных
Если по закону согласие на обработку персональных данных является обязательным, оператор должен рассказать субъекту персональных данных о юридических последствиях отказа в предоставлении согласия на обработку (ч. 2 ст. 18 Закона № 152-ФЗ).
Локальные документы оператора персональных данных не должны ущемлять права субъектов персданных
Документы, определяющие политику обработки персональных данных, которые издает оператор персональных данных, включая локальные нормативные акты, не должны содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на оператора не предусмотренные законом полномочия и обязанности. Такое правило добавлено в п. 2 ч. 1 ст. 18.1 Закона № 152-ФЗ.
Мер по обеспечению безопасности персональных данных стало больше
Статья 19 Закона № 152-ФЗ дополнена новыми обязанностями операторов персональных данных по обеспечению безопасности таких данных. С 1 сентября 2022 года операторы должны обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы России, включая информирование о компьютерных инцидентах, в результате которых произошла неправомерная передача персональных данных. Порядок такого информирования будет определен Роскомнадзором.
Информацию о персональных данных нужно будет предоставлять в определенные сроки
По новым правилам оператор обязан сообщить субъекту персональных данных или его представителю информацию о наличии его персональных данных и предоставить возможность ознакомиться с ними при обращении субъекта или его представителя либо в течение 10 рабочих дней после получения от них соответствующего запроса. Сейчас такой срок может составлять до 30 рабочих дней (ч. 1 ст. 20 Закона № 152-ФЗ). Срок предоставления может быть продлен (но не более чем на 5 раб. дн.), при этом оператор должен направить субъекту персональных данных соответствующее мотивированное уведомление с указанием причин продления. Отказ в предоставлении персональных данных нужно направлять в тот же 10-дневный срок, который можно продлить с мотивированным уведомлением (ч. 2 ст. 20 Закона № 152-ФЗ). Аналогичные сроки будут действовать и при предоставлении оператором персональных данных информации в Роскомнадзор по его запросу (ч. 4 ст. 20 Закона № 152-ФЗ).
Определены сроки прекращения обработки персональных данных
Субъект персональных данных вправе обратиться к оператору с требованием о прекращении их обработки. Теперь в законе будет прописан срок, в течение которого оператор должен выполнить это требование: 10 рабочих дней с даты получения требования. Этот срок можно будет продлить, (но не более чем на 5 раб. дн.), при этом в адрес субъекта персональных данных нужно направить соответствующее мотивированное уведомление (ч. 5.1 ст. 21 Закона № 152-ФЗ)
Источник: https://its.1c.ru/db/newscomm/content/480389/hdoc