Статьи – Изменения в законодательстве о персональных данных с 01 сентября 2022 года

С 01.09.2022 вступил в силу Федеральный закон от 14.07.2022 № 266-ФЗ, в соответствии с которым в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ПД, Закон о ПД) внесен ряд изменений.

Органам местного самоуправления и их подведомственным организациям рекомендуем обратить внимание на следующие поправки:

1. Расширены полномочия Роскомнадзора по взаимодействию с отдельными операторами ПД. В частности, на органы местного самоуправления возложена обязанность согласовывать с Роскомнадзором муниципальные правовые акты, которые касаются трансграничной передачи ПД, обработки специальных категорий ПД, биометрических ПД, ПД несовершеннолетних, предоставления, распространения ПД, полученных в результате обезличивания (ч. 3.1 ст. 4 Закона о ПД).

2. В 2021 году Закон о ПД был дополнен ст. 10.1, устанавливающей особенности обработки ПД, разрешенных субъектом ПД для распространения. Ранее эти особенности не распространялись на обработку ПД органами государственной власти и местного самоуправления при исполнении их функций, полномочий и обязанностей (ч. 15 ст. 10.1 Закона о ПД). Теперь это правило распространено на организации, подведомственные таким органам.

Поправки, которые затрагивают всех операторов ПД:

1. Установлены требования к договору, заключение или исполнение которого освобождает оператора от обязанности получать согласие на обработку ПД. Данный договор не может ограничивать права и свободы субъекта ПД, допускать обработку ПД несовершеннолетних (если иное не закреплено законодательством РФ), а бездействие субъекта ПД не может расцениваться как условие для заключения договора (п. 5 ч. 1 ст. 6 Закона о ПД).

2. Дополнены обязанности обработчика ПД. Если ранее Закон о ПД обязывал лиц, осуществляющих обработку ПД по поручению оператора, только соблюдать принципы и правила обработки ПД, предусмотренные данным законом, то с 01.09.2022 появилась дополнительная обязанность: соблюдать конфиденциальность ПД и принимать меры, направленные на обеспечение выполнения обязанностей, предусмотренных законом. Кроме того, в договоре между обработчиком и оператором ПД должны устанавливаться следующие обязанности обработчика ПД (ч. 3 ст. 6 Закона о ПД):

- использовать базы данных, находящиеся на территории РФ;

- не нарушать требования ст. 18.1 Закона о ПД;

- в период действия договора направлять по запросу оператора ПД документы и другие сведения, подтверждающие принятие мер и соблюдение требований Закона о ПД;

- сообщать операторам о любых неправомерных либо случайных передаче, доступе, предоставлении, распространении ПД, результатом которых стало нарушение прав субъектов ПД.

Иностранные обработчики ПД несут ответственность перед субъектом ПД наряду с оператором (ч. 6 ст. 6 Закона о ПД).

3. Уточнено определение согласия на обработку ПД. Теперь оно должно быть не только конкретным, информированным, сознательным, но и предметным и однозначным (ч. 1 ст. 9 Закона о ПД). На наш взгляд, это изменение вряд ли является существенным. Посмотрим на практику применения обновленной нормы. Пока же рекомендуем скорректировать понятие согласия на обработку ПД в Политике оператора ПД.

4. Установлен запрет требовать предоставление биометрических ПД или ставить оказание услуг в зависимость от предоставления таких ПД, за исключением случаев, когда обработка биометрических ПД может осуществляться без согласия субъекта либо согласие субъекта на обработку таких ПД является обязательным (ч. 3 ст. 11 Закона о ПД).

5. Детально урегулирован порядок получения субъектом ПД информации, касающейся обработки его ПД оператором (ст. 14 Закона о ПД). Рекомендуем сверить Политику оператора ПД с новыми поправками, если в ней была установлена процедура действий в отношении запросов субъектов ПД.

6. В обязанности оператора дополнительно включены:

- необходимость разъяснить субъекту ПД юридические последствия отказа дать обязательное согласие на обработку ПД (ч. 2 ст. 18 Закона о ПД);

- предоставление субъекту ПД до начала обработки ПД перечень таких ПД (п. 2.1 ч. 3 ст. 18 Закона о ПД);

- уведомление Роскомнадзора о факте неправомерной или случайной передачи (предоставления, распространения, доступа) ПД, повлекшей нарушение прав субъектов ПД, о мерах по устранению инцидента, о предполагаемых причинах и предполагаемом вреде, который нанесен правам субъектов ПД в результате данного нарушения. Для разных категорий сведений об инциденте установлено два срока: общая информация направляется в течение 1 суток с момента выявления инцидента, информация о результатах внутреннего расследования и о виновных лицах – в течение трех суток (ч. 3.1 ст. 21 Закона о ПД);

- прекращение обработки ПД (или обеспечение прекращения обработки), если к оператору (или обработчику) поступит соответствующее требование субъекта ПД. Срок – 10 рабочих дней с даты получения, его можно продлить не более чем на 5 рабочих дней, уведомив об этом субъекта ПД (ч. 5.1 ст. 21 Закона о ПД).

7. Перечень мер, установленных ч. 1 ст. 18.1 Закона о ПД, утратил рекомендательный характер и стал обязательным.

8. В содержание и способ размещения локальных актов по вопросам обработки ПД внесены изменения:

- в данных документах необходимо определять для каждой цели обработки ПД категории и перечень обрабатываемых ПД, категории субъектов, ПД которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения ПД при достижении целей их обработки или при наступлении иных законных оснований (п. 2 ч. 1 ст. 18.1 Закона о ПД);

- установлен запрет на включение в данные документы ограничений права субъектов ПД, а также не предусмотренных законом полномочий и обязанностей оператора (п. 2 ч. 1 ст. 18.1 Закона о ПД);

- документ, определяющий политику оператора в отношении обработки ПД, и сведения о реализуемых требованиях к защите ПД должны размещаться на сайте оператора, с использованием которого собираются ПД (ч. 2 ст. 18.1 Закона о ПД).

9. Сокращены сроки ответов оператора на запросы субъекта ПД и Роскомнадзора – с 30 календарных дней до 10 рабочих дней со дня поступления запроса. Продление срока возможно на 5 рабочих дней, для этого в адрес заявителя необходимо направить соответствующее уведомление (ч.ч. 1, 2 и 4 ст. 20 Закона о ПД).

10. Сокращен перечень случаев, в которых оператор может не уведомлять Роскомнадзор о начале обработки ПД (ч. 2 ст. 22 Закона о ПД). Теперь в него входят только случаи обработки ПД:

- включенных в ГИС ПД, созданные в целях защиты безопасности государства и общественного порядка;

- обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;

- в случае если оператор осуществляет деятельность по обработке ПД исключительно без использования средств автоматизации.

На практике это означает, что практически все операторы с 01.09.2022 обязаны уведомлять Роскомнадзор о начале обработки ПД. В то же время предельный срок направления такого уведомления не установлен. Рекомендуем все же не затягивать с решением этого вопроса.

Требования к содержанию уведомления также подверглись изменениям (п. 10.2 ч. 3, ч. 3.1 ст. 22 Закона о ПД), однако новая форма уведомления пока не утверждена, поэтому продолжает действовать форма, утвержденная приказом Роскомнадзора от 30.05.2017 № 94.

Поправки, которые затрагивают операторов ПД из числа субъектов критической информационной инфраструктуры:

- введена обязанность по взаимодействию таких операторов с ГосСОПКА. Это государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления, находящиеся на территории РФ, в дипломатических представительствах и(или) консульских учреждениях РФ), созданная в соответствии с Федеральным законом от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».

Напоминаем, что к субъектам критической информационной инфраструктуры относятся государственные органы, государственные учреждения, российские юридические лица и(или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и(или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Изменения в законодательстве о персональных данных с 01 сентября 2022 года

Категории

Быстрые ссылки

Популярные категории