13.07.2022
6 Июля 2022 года Государственная Дума РФ приняла законопроект № 101234-8 «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности»Это одни из самых крупных единоразовых изменений в законодательство о персональных данных за все время существования 152-ФЗ. Ниже представлены основные положения этого законопроекта.
Добавляется принцип экстерриториальности, теперь 152-ФЗ распространяется на действия с персональными данными граждан РФ, даже если они осуществляются зарубежными операторами.
Вместе с Федеральным законом от 01.05.2022 № 135-ФЗ и Федеральным законом от 28.05.2022 № 145-ФЗ вводится запрет на необоснованный сбор ПДн потребителей, включение в договоры условий, навязывающие дополнительные товары и услуги, а также административная ответственность за эти действия. Кроме того, добавляется запрет на включение в договор положений, ограничивающих права и свободы субъекта ПДн, устанавливающие случаи обработки ПДн несовершеннолетних.
Расширяется объем обязанностей обработчиков ПДн по соблюдению требований 152-ФЗ, в частности к ним предъявляются требования по обеспечению локализации баз данных с ПДн граждан РФ на территории Российской Федерации, принятию предусмотренных Статьей 18.1 152-ФЗ мер и предоставлению сведений о них по запросу оператора, уведомлению оператора в отношении инцидентов с ПДн, что приводит к расширению возможностей привлечения обработчиков к юридической ответственности.
Вводится ответственность иностранного обработчика перед субъектом ПДн, то есть расширяется принцип экстерриториальности 152-ФЗ в отношении обработчика нерезидента РФ.
К требованиям о согласии на обработку ПДн добавляется, что оно должно быть предметным и однозначным. Это можно интерпретировать, как осуждение практики группировки нескольких несовместимых или несвязанных между собой целей обработки ПДн в одном согласии, а также осуждение практики интерпретации бездействия субъекта ПДн в качестве выражения согласия на обработку ПДн. Расширение перечня требований к согласию также означает увеличение возможностей по его оспариванию, что может снизить для операторов привлекательность использования этого обоснования обработки ПДн.
Вводится запрет оператору отказывать в обслуживании в случае отказа субъекта ПДн предоставить свои биометрические персональные данные или дать согласие на обработку таких данных. Эта норма направлена на пресечение недобросовестной практики некоторых организаций, в первую очередь кредитных, по вынуждению клиентов предоставлять согласия на обработку своих биометрических ПДн.
Вводится обязанность операторов уведомлять Роскомнадзор о трансграничной передаче персональных данных. Это уведомление подается отдельно от уведомления о начале обработки ПДн. Норма вступает в силу с 1 Марта 2023 года. Операторы, которые осуществляли трансграничную передачу ПДн до дня вступления в силу изменений в 152-ФЗ и продолжают осуществлять такую передачу после дня вступления в силу изменений в 152-ФЗ, обязаны не позднее 01.03.2023 направить в Роскомнадзор уведомление об осуществлении трансграничной передачи ПДн.
В отношении трансграничной передачи ПДн вводится два режима ее осуществления: уведомительный, при передаче ПДн в «адекватные» страны, и разрешительный, при передаче ПДн в «неадекватные» страны. Таким образом, существующая в действующей редакции части 4 Статьи 12 152-ФЗ норма об ограниченном перечне случаев возможности передавать ПДн в «неадекватные» страны утрачивает свою силу. Иначе говоря, можно передавать ПДн в «неадекватные» страны и без получения письменного согласия субъекта ПД, но при условии получения разрешения от Роскомнадзора.
Импортеры ПДн с территории РФ должны будут заранее раскрыть оператору-экспортеру перечень всех последующих и конечных получателей ПДн (в случае их дальнейшей трансграничной передачи в другие юрисдикции). Роскомнадзор может запросить у оператора-экспортера как указанные сведения, так и иные предусмотренные частью 5 Статьи 12 152-ФЗ.
С 30 до 10 рабочих дней сокращаются сроки ответа оператора на запросы субъектов ПДн о получении информации в отношении обработки их ПДн. Ответ оператор должен будет направить в той же форме, в которой был направлен запрос.
В случае необходимости получения согласия на обработку от субъекта ПДн вводится обязанность оператора разъяснить субъекту юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку.
Вводится формулировка, расширяющая и дополняющая обязанности оператора по изданию документов и локальных нормативных актов, определяющих порядок обработки ПДн в организации. Эта норма закрепляет требования части 1 Статьи 18.1 152-ФЗ об обязанности оператора принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами.
Вводится требование о размещении политики оператора в отношении обработки ПДн, или ссылки на нее, на тех страницах Интернет-сайтов, которые используются для сбора ПДн.
Устанавливается обязанность оператора обеспечивать взаимодействие с ГосСОПКА, включая информирование о компьютерных инцидентах. Порядок взаимодействия с ГосСОПКА должен быть утвержден ФСБ.
С 30 до 10 календарных дней сокращаются сроки ответа оператора на запросы Роскомнадзора или субъекта ПДн относительно информации по персональным данным субъекта, которые обрабатывает оператор.
Устанавливается обязанность оператора уведомлять Роскомнадзор об утечке персональных данных в течение 24 часов с момента выявления инцидента. Также в течение 72 часов оператор должен будет направить уведомление о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
Вводится обязанность оператора в случае обращения субъекта ПДн с требованием о прекращении обработки персональных данных, в срок, не превышающий 10 рабочих дней с даты получения соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки, если ПДн переданы обработчику.
Устанавливается обязанность оператора в случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в частях 3 и 5.1 Статьи 21 ФЗ-152, осуществлять блокирование таких ПДн или обеспечивать их блокирование, если ПДн переданы обработчику. Для случаев, когда необходимо подтверждать уничтожение ПДн Роскомнадзор должен разработать требования в отношении подтверждения уничтожения ПДн.
Значительно уменьшено количество исключений, которые позволяют не подавать уведомление в Роскомнадзор об обработке ПДн. Необходимо отметить, что и ранее эти исключения почти не работали. Теперь уведомления должны будут подавать практически все операторы персональных данных, к которым относится подавляющее большинство юридических лиц в Российской Федерации.
В уведомлении об обработке ПДн оператор теперь для каждой цели обработки персональных данных должен будет указывать категории ПДн, категории субъектов, персональные данные которых обрабатываются, правовое основание обработки ПДн, перечень действий и способы обработки персональных данных. Уведомления, направляемые в Роскомнадзор, сильно увеличатся в размерах, а инспекторы получат возможность еще более тщательно проверять соответствие сведений об обработке ПДн из уведомления и получаемых от оператора в ходе контрольно-надзорных мероприятий.
В новом Законопроекте отдельно подчеркивается, что Роскомнадзор самостоятельно осуществляет функции по контролю и надзору за соответствием обработки ПДн требованиям законодательства. Роскомнадзор наделяется правом вносить в Правительство РФ предложения о деятельности по обработке персональных данных. Таким образом делается акцент на формально-независимом и возросшем статусе Роскомнадзора, как уполномоченного органа по защите прав субъектов персональных данных, а также расширяются права законодательной инициативы РКН.
Роскомнадзор будет вести реестр учета инцидентов в области персональных данных. Предусмотрена совместная разработка ФСБ и Роскомнадзором порядка передачи сведений о компьютерных инцидентах из этого реестра в ФСБ.
Большинство норм вступает в силу 1 Сентября 2022 года. За исключением требования об уведомлении о трансграничной передаче и требования об издании оператором документов в отношении обработки ПДн, они вступают в силу с 1 Марта 2023 года.
Новые законодательные нормы требуют от операторов проанализировать все процессы, связанные с обработкой персональных данных, особенно в части трансграничной передачи ПДн, доработать типовые формы договоров, как с потребителями и подрядчиками, так и трудовые договоры, в случае необходимости внести изменения в уже заключенные договоры.
Отдельное внимание необходимо уделить порядку взаимодействия с обработчиками, внести соответствующие изменения в локальные акты, доработать типовые формы договоров о поручении на обработку ПДн.
Следует проанализировать и при необходимости скорректировать существующую практику получения согласий на обработку ПДн, практику обработки запросов субъектов ПДн,
Необходимо проверить наличие текста, а также ссылок на политику оператора в отношении обработки ПДн на интернет-ресурсах, сайтах и мобильных приложениях, используемых для сбора ПДн.
После утверждения ФСБ соответствующего правового акта потребуется разработать локальную процедуру взаимодействия с ГосСОПКА.
Операторам придется проанализировать и доработать свои механизмы относительно уничтожения персональных данных.
Будет нужно внести изменения в нормативную документацию в связи с существенным сокращением сроков реагирования на запросы надзорных органов и субъектов персональных данных.
Серьезное внимание необходимо уделить процедурам выявления, установления, нейтрализации и уведомления в отношении утечек ПДн. Потребуется провести анализ и доработать в случае необходимости типовые формы договоров об обработке ПДн на предмет их соответствия новым требованиям в отношении утечек ПДн.
Потребуется разработать процедуру обработки запросов субъектов ПДн на прекращение обработки их данных, проанализировать формы согласий и договоров на предмет возможности обеспечить реализацию прав субъектов ПДн на прекращение обработки их данных.
Операторам будет нужно провести анализ и в случае необходимости скорректировать локальные акты в отношении процедуры уничтожения ПДн.
Будет нужно проанализировать и с высокой долей вероятности внести изменения в уведомление об обработке ПДн в Роскомнадзор.
Фактически, операторам потребуется провести анализ всех процессов, политики, локальных правовых актов, договоров с клиентами, подрядчиками и сотрудниками, согласий на обработку ПДн, уведомления в Роскомнадзор, проектной документации на построение системы защиты персональных данных.
Теги: изменения регуляторы