ОБЗОР ИЗМЕНЕНИЙ,
внесенных Федеральным законом от 14.07.2022 № 266-ФЗ
в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
30 сентября 2022 г.
Персональные данные (далее также – «ПД»), их обработка, защита, хранение давно вошли в нашу жизнь и не вызывают каких-то вопросов при необходимости подписать согласие на обработку персональных данных. В Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – «Закон № 152-ФЗ», «Закон о персональных данных») регулярно изменения, которые касаются различных отраслей деятельности компаний, которые обрабатывают персональные данные.
Последние изменения, которыми отражены в Федеральном законе от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности» (далее – «Закон № 266-ФЗ»). Изменения, которые были внесены Законом № 266-ФЗ, вступили в силу 1 сентября 2022 г.
Локальные акты организации в части обработки персональных данных
В пункт 2 статьи 18.1 Закона о персональных данных внесли изменения в части локальных документов операторов персональных данных, в частности, что конкретно должны содержать локальные акты:
- Категории и перечни обрабатываемых данных.
- Категории субъектов данных.
- Способы и сроки обработки, хранения данных.
- Порядок уничтожения персональных данных.
Такую информацию необходимо определить для каждой цели обработки данных.
Вместе с тем, такие локальные документы не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на операторов не предусмотренные законодательством Российской Федерации полномочия и обязанности.
Важным моментом является место расположения на сайте Политики обработки персональных данных. Такой локальный документ необходимо разместить, в том числе, на страницах сайта, где непосредственно идет сбор персональных данных (например, на страницах с регистрационными формами, которые заполняют пользователи).
Уведомление Роскомнадзора о начале обработки персональных данных
С 1 сентября 2022 года обязанность уведомлять Роскомнадзор до начала обработки персональных данных о своем намерении осуществлять обработку персональных данных распространяется на обработку персональных данных:
- обрабатываемых в соответствии с трудовым законодательством;
- полученных оператором в связи с заключением договора и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
- относящихся к членам (участникам) общественного объединения или религиозной организации, при условии, что ПД не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
- разрешенных субъектом персональных данных для распространения при условии соблюдения оператором запретов и условий, предусмотренных статьей 10.1 Закона о персональных данных;
- включающих в себя только фамилии, имена и отчества субъектов персональных данных;
- необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях.
С 1 сентября 2022 г. года перечисленные случаи обработки ПД не будут являться основанием для освобождения от уведомления Роскомнадзора об обработке ПД.
Данная обязанность, согласно внесенным изменениям, не возникает в случаях обработки персональных данных:
- включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;
- обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
В случае, если оператор осуществляет деятельность по обработке ПД исключительно без использования средств автоматизации, то он может быть освобожден от обязанности уведомления Роскомнадзора.
Предполагается, что форма уведомления будет утверждена соответствующим документом, однако до принятий такого документа форма уведомления может соответствовать уже имеющему нормативному документу (приказ Роскомнадзора от 30.05.2017 № 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения»). При этом, уведомление может быть направлено:
- На бумажном носителе.
- В электронном виде с использованием усиленной квалифицированной электронной подписи.
- В электронном виде с использованием средств аутентификации ЕСИА.
При этом, непредставление или несвоевременное представление в Роскомнадзор уведомления об обработке персональных данных, либо представление уведомления, содержащего неполные или недостоверные сведения, является административным правонарушением, ответственность за которое установлена ст. 19.7 КоАП РФ в виде предупреждения или штрафа в размере:
- для должностных лиц – от 300 до 500 руб. Согласно примечанию к ст. 2.4 КоАП РФ такими лицами являются руководители и иные работники организаций, выполняющие организационно-распорядительные или административно–хозяйственные функции;
- для юридических лиц – от 3000 до 5000 руб.
Предельный срок уведомления Роскомнадзора об обработке персональных данных не определен. Следовательно, 1 сентября 2022 не является крайним сроком подачи уведомления об обработке персональных данных. Вместе с тем, Роскомнадзор указал, что уведомление нужно подать также и тем, кто уже обрабатывал персональные данные в ситуациях, которые ранее считались исключением.
Согласие на обработку персональных данных
В части 1 статьи 9 Закона о персональных данных слова «конкретным, информированным и сознательным» заменили словами «конкретным, предметным, информированным, сознательным и однозначным».
Однозначность в этом случае означает, что в согласии на обработку персональных данных необходимо прописать:
- Цель обработки.
- Перечень данных, которые будут обрабатываться.
- Субъекта, чьи персональные данные будут обрабатываться.
- Оператор обработки персональных данных.
Вместе с тем, если получение согласия является обязательным, организация должна разъяснить физическому лицу последствия отказа в предоставлении персональных данных, а также последствия отказа на дачу согласия на их обработку.
Трансграничная передача персональных данных
Статья 12 Закона № 152-ФЗ существенно была изменена Законом № 266-ФЗ. Так, например, уполномоченный орган по защите прав субъектов персональных данных утверждает перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных. Ранее норма части 1 статьи 12 Закона о персональных данных обязывала операторов персональных данных самостоятельно убеждаться в том, что обеспечивается адекватная защита прав субъектов персональных данных.
Теперь в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, включаются государства, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иностранные государства, не являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, при условии соответствия положениям указанной Конвенции действующих в соответствующем государстве норм права и применяемых мер по обеспечению конфиденциальности и безопасности персональных данных при их обработке.
Также теперь при трансграничной передаче персональных данных необходимо не просто получить согласие на обработку персональных данных, но и согласие в том числе, на их трансграничную передачу.
Необходимо также отметить, что государственные органы, Банк России, органы местного самоуправления обязаны согласовывать с Роскомнадзором свои нормативные правовые акты, если они касаются трансграничной передачи персональных данных, обработки специальных категорий персональных данных, биометрических персональных данных, персональных данных несовершеннолетних, предоставления, распространения персональных данных, полученных в результате обезличивания. При этом, срок указанного согласования не может превышать 30 дней с даты поступления соответствующего нормативного правового акта в Роскомнадзор.
Важно отметить также, что операторам, которые уже передают персональные данные в этом контексте, необходимо до 1 марта 2023 года направить в Роскомнадзор уведомление о трансграничной передаче персональных данных. Вместе с тем, решение о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан принимается Роскомнадзором по результатам рассмотрения направленного уведомления в течение 10 рабочих дней с даты поступления уведомления. При этом, уведомление необходимо направить один раз для каждой страны, в которую будут передаваться персональные данные. Уведомление может быть подано через Портал персональных данных Роскомнадзора или в письменном виде.
Обработка персональных данных другими лицами
Обработка персональных данных другими лицами, также была скорректирована, в часть 3 статьи 6 Закона № 152-ФЗ были внесены изменения, в соответствии с которыми в поручении оператора должны быть определены:
- Перечень персональных данных.
- Перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных.
- Цели обработки персональных данных.
- Должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных.
- Обязанность по запросу предоставлять в течение срока действия поручения информацию о соблюдении условий обработки персональных данных.
- Обязанность обеспечивать безопасность персональных данных при их обработке.
- Требования к защите обрабатываемых персональных данных.
- Обязанность уведомить о случаях компрометации обрабатываемых данных.
Использование персональных данных иностранными лицами
Статью 1 Закона о защите персональных данных дополнили частью 1.1 следующего содержания: Положения Федерального закона применяются к обработке персональных данных граждан Российской Федерации, осуществляемой иностранными юридическими лицами или иностранными физическими лицами, на основании договора, стороной которого являются граждане Российской Федерации, иных соглашений между иностранными юридическими лицами, иностранными физическими лицами и гражданами Российской Федерации либо на основании согласия гражданина Российской Федерации на обработку его персональных данных.
При этом в случае, если оператор поручает обработку персональных данных иностранному физическому лицу или иностранному юридическому лицу, ответственность перед субъектом персональных данных за действия указанных лиц несет оператор и лицо, осуществляющее обработку персональных данных по поручению оператора.
Действия организации на случай компрометации персональных данных
Статью 21 Закона о персональных данных дополнили частью 3.1, в соответствии с которой в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных оператор обязан с момента выявления уведомить Роскомнадзор:
1. В течение 24 часов:
- О произошедшем инциденте.
- О предполагаемых причинах, повлекших нарушение прав субъектов персональных данных.
- О предполагаемом вреде, нанесенном правам субъектов персональных данных.
- О принятых мерах по устранению последствий соответствующего инцидента.
- Предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом.
2. В течение 72 часов:
- О результатах внутреннего расследования выявленного инцидента.
- Предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
Взаимодействие с ГосСОПКА
С 1 сентября 2022 года введена новая обязанность оператора персональных данных по взаимодействию с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее – «ГосСОПКА»). В действие введены новые положения статьи 19 Закона о персональных данных, в соответствии с которыми:
- Оператор обязан в порядке, определенном ФСБ обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.
- Указанная информация (за исключением информации, составляющей государственную тайну) передается ФСБ в Роскомнадзор.
- Порядок передачи информации устанавливается совместно ФСБ и Роскомнадзором.
Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления, находящиеся на территории РФ, в дипломатических представительствах и (или) консульских учреждениях РФ) создана в соответствии с Федеральным законом от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
Перечень и порядок предоставления информации, передаваемой в ГосСОПКА определяется приказом ФСБ России от 24.07.2018 № 367 «Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации».
Обязанности организации, получившей данные не от субъекта персональных данных
Теперь пункт 3 статьи 18 Закона № 152-ФЗ изложен в следующей редакции:
Если персональные данные получены не от субъекта персональных данных, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
- наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
- цель обработки персональных данных и ее правовое основание;
- перечень персональных данных;
- предполагаемые пользователи персональных данных;
- установленные настоящим Федеральным законом права субъекта персональных данных;
- источник получения персональных данных.
Сроки предоставления ответа по запросу Роскомнадзора
Существенно сократились сроки предоставления информации по запросу Роскомнадзора с 30 дней до 10 дней. При этом, статья, регламентирующая обязанности предоставления оператором персональных данных информации по запросу Роскомнадзора была дополнена предложением о том, что указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления оператором в адрес Роскомнадзора мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
Предоставление информации субъектам об обработке их персональных данных
Статью 14 «Право субъекта персональных данных на доступ к его персональным данным» Закона о персональных данных дополнили пунктом о том, что субъект персональных данных имеет право знать, какими способами организация выполняет обязанности, предусмотренные Законом о персональных данных.
Вместе с тем, по запросу субъекта персональных данных или его представителя сведения необходимо предоставить в течение 10 рабочих дней с момента обращения. Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. При этом, оператор предоставляет указанные сведения субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
Прекращение обработки персональных данных по требованию субъекта персональных данных
Обработка персональных данных должна быть прекращена по требованию субъекта персональных данных в соответствии с частью 5.1 статьи 21 Закона № 152-ФЗ, которая говорит о том, что в случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных оператор обязан в срок, не превышающий 10 рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных). Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
Обязанности оператора при сборе персональных данных
Часть 2 статьи 18 Закона о персональных данных изложена в новой редакции:
Если в соответствии с федеральным законом предоставление персональных данных и (или) получение оператором согласия на обработку персональных данных являются обязательными, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку.
Напомним также, что оператор при обработке ПД обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении них.
Так согласно ст. 19 Закона о персональных данных обеспечение безопасности персональных данных достигается, в частности:
- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством уровни защищенности персональных данных;
- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- учетом машинных носителей персональных данных;
- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
Правительством Российской Федерации установлены:
- уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;
- требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
- требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
Состав и содержание необходимых для выполнения установленных выше требований к защите ПД для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах ПД устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.
Согласно требованиям к защите персональных данных при их обработке в информационных системах персональных данных, утвержденным Постановлением Правительства РФ от 01.11.2012 № 1119 при обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных.
С учетом изложенного, необходимо установление уровня угроз с помощью IT-специалиста, разрабатывающего меры информационной защиты в рамках настройки программного обеспечения. Кроме того, при обработке персональных данных в информационных системах, а также при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимо соблюдение технических требований, установленных приказом ФТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и Приказом ФСБ РФ от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
Договоры, для исполнения которых нужны персональные данные
Пункт 5 части 1 статьи 6 Закона о персональных данных был изменен, теперь в соответствии с этим пунктом заключаемый с субъектом персональных данных договор не может содержать положения:
- Ограничивающие права и свободы субъекта персональных данных.
- Устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации.
- Допускающие в качестве условия заключения договора бездействие субъекта персональных данных.
Новеллы при обработке биометрических данных
Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность считаются биометрическими персональными данными. Теперь, после внесения изменений в Закон № 152-ФЗ, оператор не вправе отказывать в обслуживании в случае отказа субъекта персональных данных предоставить биометрические персональные данные и (или) дать согласие на обработку персональных данных, если в соответствии с федеральным законом получение оператором согласия на обработку персональных данных не является обязательным.
Подача различного рода уведомлений в Роскомнадзор относительно новая обязанность оператора персональных данных, в связи с чем для удобства операторов персональных данных на сайте Роскомнадзора стали доступны специальные электронные формы для подачи уведомлений:
- Об утечке персональных данных.
- Уведомление о начале обработки персональных данных.
- О трансграничной передаче ПД.
Разъяснения по вопросам применения Закона № 152-ФЗ
Органы государственной власти разных отраслей систематически дают разъяснения по тем или иным вопросам применения законодательства, в том числе и Закона № 152-ФЗ. Приведем примеры последних разъяснений:
- Письмо Федеральной налоговой службы от 08.09.2022 № БВ-3-7/9757@. Вопрос состоял в том, что есть ли необходимость получать согласие на обработку персональных данных налогоплательщика – участника судебного разбирательства. При рассмотрении этого вопроса ФНС дает разъяснения о том, что с учетом норм права если лицо является участником судебного разбирательства, то его персональные данные должны быть раскрыты в силу требования закона, в связи с чем согласие на обработку персональных данных не требуется.
- Письмо Центрального банка РФ от 19.09.2022 № 59-3-2/40817. Получение микрофинансовыми организациями согласия заемщиков на обработку их персональных данных. Банк России полагает, правовая конструкция Закона № 152-ФЗ предусматривает возможность предоставления согласия на обработку персональных данных конкретному оператору и не содержит указания на возможность предоставления согласия группе операторов или неопределенному кругу лиц.
Такие электронные формы позволят Роскомнадзору более оперативно реагировать на происшествия, связанные с персональными данными.
Утечки персональных данных, атаки на операторов персональных данных приводят к необходимым изменениям законодательства, регулирующего обращение с персональными данными. Несмотря на все большие требования в области защиты персональных данных, процесс несанкционированного распространения персональных данных зачастую приводит к нежелательным последствиям как для субъектов персональных данных, так и для операторов персональных данных. В связи с этим, изменение Закона № 152-ФЗ стало необходимостью современных реалий и только четкое его исполнение, и контроль за его исполнением позволит операторам персональных данных и субъектам персональных данных сформировать защищенную среду их взаимовыгодного сотрудничества.
30 сентября 2022 г.