14 июля 2022 года были приняты глобальные изменения в Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных», большинство из которых вступает в силу уже с 1 сентября 2022 года, а ряд изменений с 1 марта 2023 года.
Если лень читать дальше, то вкратце последствия от грядущих изменения будут следующие: почти всем надо будет включаться в реестр операторов персональных данных и реестр операторов, передающих персональные данные за границу, перерабатывать или разрабатывать заново внутренние локальные документы по вопросам обработки персональных данных, перерабатывать тексты запрашиваемых согласий на обработку персональных данных, надо провести аудит используемых персональных данных, скорректировать цели, для которых они запрашиваются и обрабатываются, а тем, кто перекладывает обработку персональных данных на сторонние организации (хостинги, облачные платформы и т.п.), придётся корректировать или заключать отдельное соглашение о поручении на обработку персональных данных. В общем, работы много. Ведь штрафы за нарушения никуда не делись, напротив, их собираются ужесточать. Пока что штрафы варьируются от 12 тыс. до 18 млн. рублей, что тоже немало.
А теперь подробнее.
Общие изменения
Федеральным законом от 14.07.2022 N 266-ФЗ внесены существенные изменения в правила обработки персональных данных. Так некоторые старые положения скорректированы, введены новые положения, например, для операторов персональных данных теперь предписаны новые обязанности и новые запреты, а также ряд сроков, предусмотренных законом, теперь сокращён. Нововведения вступают в силу с 1 сентября 2022 года, за исключением ряда положений, вступающих в силу с 1 марта 2023 года но уже сейчас очевидно, что они могут вызвать дополнительные расходы у всех, кто так или иначе обрабатывает персональные данные россиян.
В закон введено новое положение, по которому действия закона о персональных данных распространяются теперь и на иностранные юридические или физические лица, которые обрабатывают персональные данные россиян на основании какого-либо договора или соглашения между ними либо просто на основании согласия. Кажется, что это правило было достаточно очевидным и из прошлой редакции закона, но видимо всё-таки нет и его решили уточнить отдельно.
Ранее обработка персональных данных, которая производится для заключения и исполнения договора по инициативе гражданина, допускалась без его дополнительного согласия. Предполагалось, что гражданин и так осознаёт, что без его персональных данных заключение и исполнение такого договора будет практически невозможным. Эти положения сохранены в законе, но при этом дополнены тем, что заключаемый договор не должен ограничивать права и свободы гражданина, а также устанавливать случаи обработки персональных данных несовершеннолетних граждан и допускать заключение такого договора путём бездействия. Последнее представляется несколько излишним изменением, т.к. по умолчанию по закону бездействие не признаётся выражением воли на совершение сделки и не является акцептом оферты. Но, вероятно, изменение рассчитано на те исключительные ситуации, когда бездействие может считаться акцептом оферты и согласием на совершение сделки.
Уточнены положения закона о персональных данных и в части перепоручения обработки данных другому лицу, так называемому обработчику, что часто происходит при использовании облачных сервисов, услуг хостинга и использовании прочих удалённых вычислительных возможностей. При этом в законе это лицо по-прежнему не имеет более сокращённого наименования, например, обработчик, а именуется как лицо, обрабатывающее персональные данные по поручению оператора. Для простоты будем далее по тексту именовать его как обработчик.
Так если раньше обработчику достаточно было соблюдать принципы и правила обработки персональных данных, предписанные законом, то теперь явным образом прописана обязанность соблюдать конфиденциальность и принятие необходимых мер по выполнению обязанностей, наложенных на такого обработчика законом.
Конкретизированы требования к соглашению с обработчиком персональных данных. В таком соглашении теперь следует прописывать не только поручение на обработку персональных данных, но и перечень персональных данных, перечень действий (операций) с ними, цели их обработки, обязанность соблюдать конфиденциальность данных, обязанность использования баз данных на территории РФ, обязанность назначения ответственного за организацию обработки персональных данных, издания внутренних локальных документов в отношении обработки персональных данных (политики, положения, инструкции, приказы, акты, перечни и т.д.), обязанность применения мер по обеспечению безопасности персональных данных, осуществления внутреннего контроля и аудита, оценки вреда в случае утечки персональных данных, ознакомления своих работников со всеми этими документами и т.д. Кроме того, для обработчика установлена обязанность публикации публичной политики в отношении обработки персональных данных и обязанность уведомлять об утечке контролирующие органы.
Таким образом, спорный вопрос о том, является ли обработчик тоже оператором или он всего лишь технический исполнитель, теперь решён однозначно – обработчик является оператором персональных данных.
Дополнен закон и правилом об особенностях перепоручения обработки иностранным обработчикам. Если обработка персональных данных поручена российскому обработчику, то ответственность перед гражданином за обработку его данных несёт именно оператор, а обработчик несёт ответственность перед оператором. В случае же, когда обработка персональных данных поручения иностранному обработчику, то ответственность перед гражданином, чьи данные обрабатываются, несёт и оператор, и иностранный обработчик. Указанное нововведение, как нам кажется, достаточно справедливо и направлено на защиту прав субъектов персональных данных.
Нововведения в согласии на обработку персональных данных
Обновились немного и требования к согласия на обработку персональных данных. Теперь согласие должно быть не только конкретным, информированным и сознательным, но и предметным и однозначным. Что под этим понимается, не расшифровано, но думается, что это будет предмет для дальнейших разъяснений.
Недавно введённые правила об особенностях обработки персональных данных, разрешённых гражданином для распространения, тоже обновились. Если раньше эти особенности не распространялись на случаи обработки таких персональных данных в целях выполнения возложенных на федеральные органы исполнительной власти, органы исполнительной власти субъектов РФ и органы муниципального самоуправления функций, полномочий и обязанностей, то теперь эти органы заменены на государственные органы и муниципальные органы, а также подведомственные им организации. Представляется, что теперь перечень таких исключений стал значительно шире.
Нововведения предполагают также, что предоставление биометрических персональных данных не может быть обязательным, и оператор не вправе отказывать в обслуживании, если гражданин отказался в их предоставлении, кроме случаев, когда такое предоставление по закону является обязательным (например, для осуществления правосудия, исполнения судебных актов, обязательной дактилоскопической регистрации и т.д.).
Расширены права субъектов персональных данных
Скорректированы права субъектов персональных данных. В частности, предоставление гражданину по его запросу информации, касающейся обработки его персональных данных, теперь должно производиться в течение 10 рабочих дней, которые могут быть продлены на 5 рабочих дней при условии направления оператором уведомления о причинах такого продления. Раньше общий срок составлял 30 дней. Сама информация должна быть предоставлена оператором гражданину в той форме, в которой им был получен запрос, если иную форму не попросил сам гражданин в запросе (т.е. если запрос подан по электронной почте, то и ответ должен быть через неё). Если оператор намерен отказать в предоставлении информации, то он должен сделать это также в течение 10 рабочих дней с возможностью продления на 5 рабочих дней при условии мотивированного уведомления субъекта персональных данных. Аналогичные обязанности оператора предусмотрены и для запроса контролирующего органа по защите прав субъектов персональных данных (Роскомнадзор).
Перечень информации, которую может получить субъект персональных данных у оператора, тоже немного расширен. Теперь оператор обязан предоставлять по запросу граждан информацию о способах реализации мер, необходимых и достаточных для обеспечения выполнения обязанностей, возложенных на оператора законом. Это в частности, обязанность назначения ответственного за организацию обработки персональных данных, издания внутренних локальных документов в отношении обработки персональных данных (политики, положения, инструкции, приказы, акты, перечни и т.д.), обязанность применения мер по обеспечению безопасности персональных данных, осуществления внутреннего контроля и аудита, оценки вреда в случае утечки персональных данных, ознакомления своих работников со всеми этими документами, обязанность публикации публичной политики в отношении обработки персональных данных, обязанность уведомлять об утечке контролирующие органы и иные обязанности.
Помимо отзыва согласия на обработку персональных данных закон теперь дополнен таким действием, как требование о прекращении обработки персональных данных. Как они соотносятся между собой пока неясно. Но при получении такого требования оператор обязан в течение 10 рабочих дней прекратить обработку персональных данных. Срок может быть продлён на 5 рабочих дней при условии уведомления заявителя о причинах продления. Как и в случае с отзывом согласия, если персональные данные уничтожить невозможно, то оператор обязан их заблокировать.
Обязанностей у операторов стало больше
Расширены обязанности оператора по исполнению запросов от граждан. Так если раньше оператор обязан был разъяснить субъекту персональных данных юридические последствия отказа предоставить персональные данные в случаях, когда предоставление гражданином персональных данных по закону является обязательным, то теперь такие разъяснения оператор обязан дать и в случаях, когда для оператора получение согласия на обработку персональных данных является обязательным, т.е. практически в большинстве случаев получения персональных данных.
Если оператор получил персональные данные не от гражданина, а от третьих лиц, то теперь он обязан до начала обработки таких данных предоставить гражданину не только данные о себе, цель обработки и её правовое основание, предполагаемых пользователей данных, права субъекта персональных данных и источник их получения, но и перечень персональных данных, полученный оператором от третьих лиц. В данном случае изменение является логичным и возникает ощущение, что просто исправлена досадная ошибка, вкравшаяся ранее в закон.
Упоминаемые выше меры, необходимые и достаточные для обеспечения оператором выполнения обязанностей, возложенных на него законом, тоже скорректированы. Ранее положения закона предусматривали, что оператор обязан утвердить политику в отношении обработки персональных данных, внутренние локальные документы по вопросам обработки персональных данных, о процедурах по предотвращению, выявлению и устранению нарушений законодательства о персональных данных. Теперь требования к таким документам существенно конкретизированы. Нововведения предполагают, что внутренние локальные документы по вопросам обработки персональных данных должны определять для каждой цели обработки персональных данных категории и перечень обрабатываемых данных, категории субъектов, чьи данные обрабатываются, способы и сроки их обработки и хранения, порядок уничтожения. Установлено также, что такие документы не могут ограничивать права субъектов персональных данных и возлагать на операторов на предусмотренные законом полномочия и обязанности.
Публичная политика в отношении обработки персональных данных (та самая политика конфиденциальности) должна публиковаться теперь не просто на сайте оператора в сети Интернет, а именно на том сайте, при помощи которого и собираются персональные данные. С учётом этого нововведения представляется, что публикация единой политики для нескольких сайтов только лишь на одном из них будет считаться нарушением. Наиболее безопасным является публикация на каждом сайте самостоятельной политики.
Об утечках теперь нужно сообщать
В число обязанностей оператора теперь включено обеспечение взаимодействия со специальной государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак. Оператор обязан обеспечить информирование органов безопасности о компьютерных инцидентах, повлекших утечку персональных данных. Порядок взаимодействия и передачи информации пока что не утверждён, но следует иметь это в виду и быть готовым к подключению к этой системе.
Введены в закон и отдельные положения, касающиеся обязанностей оператора в случае утечки персональных данных.
Так если была обнаружена утечка персональных данных, то оператор обязан уведомить Роскомнадзор в течение 24 часов о произошедшей утечке, о предполагаемых причинах утечки, о предполагаемом вреде и о принятых мерах по устранению последствий, а также предоставить контакты уполномоченного оператором лица, чтобы контролирующий орган взаимодействовал с ним по этой ситуации. При этом оператор обязан провести внутреннее расследование и в течение 72 часов с даты выявления утечки информировать Роскомнадзор об установленных лицах, чьи действия стали причиной утечки.
Уведомлять Роскомнадзор теперь должны почти все
Внесены существенные изменения и в порядок уведомления оператором контролирующего органа (Роскомнадзор) о намерении обрабатывать персональные данные и включении в реестр операторов персональных данных. Раньше не требовалось уведомлять и включаться в реестр операторов, если обрабатывались персональные данные в соответствии с трудовым законодательством, при заключении и исполнении договоров, персональные данные участников общественного объединения или религиозной организации, данных, разрешенных их владельцем для распространения, данных только из фамилии, имени и отчества, персональных данных для пропуска на территорию оператора. Теперь во всех этих случаях следует направлять уведомление в Роскомнадзор и включаться в реестр операторов.
Немного скорректированы требования к такому уведомлению. Теперь оператор для каждой цели обработки персональных данных должен указывать категории персональных данных, категории субъектов, персональные данные которых обрабатываются, правовое основание обработки персональных данных, перечень действий с персональными данными и способы обработки персональных данных. Представляется, что теперь такое уведомление будет значительно объёмнее. Сами формы уведомлений, как и раньше, устанавливаются Роскомнадзором. Если сведения об операторе изменились, то с 1 марта 2023 года надо будет направлять уведомление об изменении не позднее 15 числа месяца, следующего за месяцем изменений, а если оператор прекратил обработку персональных данных, то уведомление об этом надо будет представить в течение 10 рабочих дней.
Ужесточены условия трансграничной передачи персональных данных
В числе положений, вступающих с 1 марта 2023 года, находятся нововведения в области трансграничной передачи персональных данных.
Так Роскомнадзор должен утвердить перечень иностранных государств, обеспечивающих адекватную защиту персональных данных, к числу которых по умолчанию относятся страны Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иные иностранные государства, которые не являются членами этой Конвенции, но де-факто ей соответствуют. В этом плане изменений нет. Новинкой является то, что теперь оператор до начала трансграничной передачи персональных данных должен уведомить об этом Роскомнадзор и включиться в отдельный реестр операторов, осуществляющих трансграничную передачу персональных данных. Это должно быть отдельное уведомление, независимое от уведомления об обработке персональных данных, о котором мы писали выше.
Помимо общих сведений об операторе, о персональных данных и основаниях трансграничной передачи данных такое уведомление должно содержать перечень государств, куда планируется передача данных, а также информация о проведении оценки соблюдения органами власти иностранных государств конфиденциальности и безопасности персональных данных при их обработке. Представляется, что это должно быть некое заключение или акт, которым даётся оценка законодательных норм такого государства. Пока форма предоставления такой информации не ясна.
До подачи такого уведомления оператор должен получить от иностранного государства сведения о принимаемых им мерах по защите персональных данных, о правовом регулировании в области персональных данных, сведения о лицах, которым оператором передаются данные в иностранное государство. Указанные сведения российский контролирующий орган вправе запросить отдельно и их придётся предоставить в течение 10 рабочих дней с правом мотивированного продления на 5 рабочих дней.
В отличие от общего уведомления о намерении обрабатывать персональные данные, уведомление о трансграничной передаче персональных данных требует принятия от контролирующего органа решения, которым разрешается, запрещается или ограничивается трансграничная передача персональных данных. Такое решение должно быть принято в течение 5 рабочих дней с даты получения уведомления. До получения такого решения трансграничная передача данных разрешена только в иностранные государства, которые утверждены Роскомнадзором.
Вместо выводов
В общем и целом, нововведения, прописанные Федеральным законом от 14.07.2022 N 266-ФЗ, теперь обязывают практически каждого, кто мало-мальски работает с персональными данными, включаться в реестр операторов персональных данных, который ведётся Роскомнадзором, а также получать разрешение на трансграничную передачу персональных данных.
Все, кто включены в этот реестр, фактически рано или поздно попадут в план проверок. Возможно не в этом году, т.к. введён мораторий, но в следующем, когда мораторий начнут ослаблять.
Кроме того, наличие моратория на проверки отнюдь не означает невозможность получения запроса от Роскомнадзора о предоставлении внутренних документов по персональным данным, а также пояснения правовых оснований для их обработки.
Всё это в целом означает, что практически каждый предприниматель или организация должны иметь полный боекомплект профессионально разработанных внутренних документов по вопросам обработки персональных данных.
| Хотите узнать больше? Нужна юридическая помощь? Звоните и пишите нам, не откладывая!
Городской телефон: +7-495-201-68-31 Мобильный телефон: +7-960-444-68-31 Электронная почта: inbox@shewzov.ru |