Загрузка...
18.07.2022
11 мин. на чтение

Президент РФ подписал закон об усилении защиты прав субъектов персональных данных и ужесточении требований к операторам обработки персональных данных

en
Юридическая компания «Пепеляев Групп» сообщает, что 14 июля 2022 г. Президент РФ подписал закон, предусматривающий масштабные изменения в Федеральный закон «О персональных данных» (далее – «Закон»)[1].

Целью Закона является усиление защиты прав российских граждан на неприкосновенность частной жизни и ужесточение требований к операторам при обработке персональных данных.

Изменения вступают в силу с 1 сентября 2022 г., за исключением отдельных положений, вступающих в силу с 1 марта 2023 г.

Введение принципа экстерриториальности действия закона о персональных данных

Ранее Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – 152-ФЗ) не содержал положений, регламентирующих сферу его действия по территории и кругу лиц. Не была конкретизирована его применимость к иностранным юридическим лицам, осуществляющим обработку персональных данных граждан РФ. Для применения отдельных положений о локализации баз данных на территории РФ Минцифры[2] указывало, что для такого применения необходима направленность деятельности иностранного юридического лица на территорию РФ. Согласно ранее озвученной позиции РКН[3] требования 152-ФЗ подлежат распространению только на представительства юридических лиц иностранных государств, осуществляющих деятельность по обработке персональных данных на территории РФ.

Однако с 1 сентября 2022 г. 152-ФЗ также подлежит применению к обработке персональных данных граждан РФ, осуществляемой иностранными юридическими лицами или иностранными физическими лицами:

  • на основании договора, стороной которого являются граждане РФ, иных соглашений между иностранными юридическими лицами, иностранными физическими лицами и гражданами РФ; либо

  • на основании согласия гражданина РФ.

РКН сможет направлять запросы и предписания любым иностранным организациям, осуществляющим обработку персональных данных граждан РФ, при соблюдении одного из указанных выше условий, независимо от наличия у них представительства на территории РФ.

Появление дополнительных обязанностей у лиц, осуществляющих обработку персональных данных по поручению оператора

Такие лица будут обязаны, помимо действующего требования о соблюдении принципов и правил обработки персональных данных, предпринимать меры, направленные на обеспечение выполнения обязанностей, предусмотренных 152-ФЗ.

В частности, теперь указанные лица будут обязаны дополнительно соблюдать требования о локализации баз данных на территории РФ, а также многочисленные меры, предусмотренные ст. 18.1 152-ФЗ[4]. Помимо этого, в течение срока действия поручения оператора или до начала такой обработки оператор вправе запросить у такого лица документы и иную информацию, подтверждающую соблюдение указанных обязанностей. Дополнительно лицо, осуществляющее обработку персональных данных по поручению, обязано уведомлять оператора об инцидентах, влекущих нарушение прав субъектов.

По общему правилу, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Теперь же иностранные физические лица или юридические лица, осуществляющие обработку персональных данных граждан РФ по поручению оператора, будут нести ответственность перед субъектами наряду с оператором.

Уточнение требований к согласию субъекта на обработку персональных данных

В настоящее время согласие субъекта на обработку персональных данных должно быть конкретным, информированным и сознательным (ч. 1 ст. 9 152-ФЗ). Закон дополняет норму требованиями о предметности и однозначности такого согласия.

Уточнение требований к содержанию локальных актов оператора по обработке персональных данных

Пункт 2 ч. 1 ст. 18.1 152-ФЗ предусматривает обязанность оператора по изданию документов, определяющих политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.

Согласно новым правилам такие документы должны определять для каждой цели обработки категории и перечень обрабатываемых персональных данных, категории субъектов персональных данных, способы обработки, сроки обработки и хранения персональных данных, порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований.

Таким образом, в 152-ФЗ фактически закрепляются существовавшие ранее рекомендации РКН[5]  к содержанию политики оператора в отношении обработки персональных данных.

Изменение порядка трансграничной передачи персональных данных (с 1 марта 2023 г.)

Деление иностранных государств на обеспечивающих адекватную защиту прав субъектов[6] и не обеспечивающих такую защиту в 152-ФЗ сохраняется. Однако вводятся уведомительный и разрешительный режимы для трансграничной передачи персональных данных.

Устанавливается обязанность оператора по направлению уведомления в РКН о намерении осуществлять трансграничную передачу персональных данных. Указанное уведомление будет рассматриваться РКН в течение 10 рабочих дней. Направить такое уведомление оператор сможет только после подачи уведомления об осуществлении обработки персональных данных, предусмотренного ст. 22 152-ФЗ.

В уведомлении должны быть указаны:

  • наименование (ФИО), адрес оператора, а также дата и номер уведомления, предусмотренного ст. 22 152-ФЗ;

  • наименование (ФИО) лица, ответственного за организацию обработки персональных данных, номера контактных телефонов, почтовые адреса и адреса электронной почты;

  • правовое основание и цель трансграничной передачи персональных данных и дальнейшей обработки переданных персональных данных;

  • категории и перечень передаваемых персональных данных;

  • перечень иностранных государств, на территории которых планируется трансграничная передача персональных данных;

  • дата проведения оператором оценки соблюдения органами власти иностранных государств, иностранными физическими лицами, иностранными юридическими лицами, конфиденциальности персональных данных и обеспечения безопасности при их обработке.

РКН вправе запросить у оператора информацию для оценки достоверности сведений, указанных в уведомлении, а именно:

  • принимаемые органами власти иностранного государства, иностранными физическими лицами, иностранными юридическими лицами, меры по защите передаваемых персональных данных и об условиях прекращения обработки;

  • информацию о правовом регулировании в области персональных данных иностранного государства, под юрисдикцией которого находятся получатели данных (в случае, если государство не обеспечивает адекватную защиту прав субъектов персональных данных);

  • сведения об органах власти иностранного государства, иностранных физических лицах, иностранных юридических лицах (наименование либо ФИО, а также номера контактных телефонов, почтовые адреса и адреса электронной почты).

При этом Закон устанавливает обязанность для операторов по получению перечисленной информации еще до подачи соответствующего уведомления в РКН.

В целом, направление уведомления необходимо для соблюдения следующих режимов трансграничной передачи персональных данных:

  • уведомительный режим: действует при передаче персональных данных в государства, обеспечивающие адекватную защиту прав субъектов. После направления уведомления, оператор вправе осуществлять трансграничную передачу персональных данных на территории указанных в уведомлении государств до принятия решения РКН о запрещении или об ограничении трансграничной передачи персональных данных;

  • разрешительный режим: действует при передаче персональных данных в государства, не обеспечивающие адекватную защиту прав субъектов. После направления уведомления оператор, до истечения срока рассмотрения РКН уведомления, не вправе осуществлять трансграничную передачу персональных данных на территории указанных государств, за исключением случая, если такая передача необходима для защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц. Таким образом, трансграничная передача персональных данных в указанные государства станет возможной без получения письменного согласия субъекта или наличия иных оснований, предусмотренных действующей редакцией ч. 4 ст. 12 152-ФЗ, но при условии получения разрешения РКН на такую передачу.

Расширяется перечень целей, в отношении которых трансграничная передача персональных данных может быть запрещена или ограничена. Ранее в перечень целей входили: защита основ конституционного строя РФ, нравственности, здоровья, прав и законных интересов граждан, обеспечение обороны страны и безопасности государства. С 1 марта 2023 г. добавляются такие цели, как защита экономических и финансовых интересов РФ, обеспечение дипломатическими и международно-правовыми средствами защиты прав, свобод и интересов граждан РФ, суверенитета, безопасности, территориальной целостности РФ и других ее интересов на международной арене.

В случае принятия РКН решения о запрещении или об ограничении трансграничной передачи персональных данных оператор обязан обеспечить уничтожение органом власти иностранного государства, иностранным физическим лицом, иностранным юридическим лицом ранее переданных им персональных данных.

Операторы, уже осуществляющие трансграничную передачу персональных данных на дату вступления в силу Закона, обязаны не позднее 1 марта 2023 г. направить в РКН уведомление об осуществлении трансграничной передачи персональных данных. Для таких операторов мораторий на передачу персональных данных в страны, не обеспечивающие адекватной защиты прав субъектов, до подачи уведомления в РКН не вводится.

Появление обязанностей операторов при допущении утечек персональных данных

Операторы будут обязаны обеспечивать взаимодействие с ГосСОПКА[7], включая информирование о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.

В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных оператор будет обязан:

  • с момента выявления такого инцидента оператором, РКН или иным заинтересованным лицом уведомить РКН в течение 24 часов о произошедшем инциденте, предполагаемых причинах и вреде, нанесенном правам субъектов, о принятых мерах по устранению последствий, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с РКН по данному инциденту;

  • в течение 72 часов с момента выявления инцидента сообщить РКН о результатах внутреннего расследования инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии такой информации).

С 1 марта 2023 г. для учета таких инцидентов РКН будет вести специализированный реестр.

Существенное сокращение сроков на исполнение запросов РКН

В настоящее время операторы имеют возможность исполнять запросы РКН или самих субъектов по вопросам, связанным с обработкой персональных данных, в течение 30 дней с даты их получения.

Закон сокращает срок для исполнения таких запросов до 10 рабочих дней. Срок может быть продлен, но не более чем на 5 рабочих дней при наличии мотивированного уведомления оператора с указанием причин.

Сокращение перечня случаев, когда оператор вправе не направлять уведомление об обработке персональных данных в РКН

Статья 22 152-ФЗ предусматривает, что оператор до начала обработки персональных данных обязан уведомить РКН о своем намерении осуществлять обработку персональных данных, за исключением случаев, перечисленных в ч. 2 указанной статьи. До 1 сентября 2022 г. оператор имеет право не направлять уведомление, если:

  • обработка персональных данных осуществляется в соответствии с трудовым законодательством;

  • персональные данные получены оператором в связи с заключением договора, стороной которого является субъект, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом;

  • персональные данные относятся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов;

  • осуществляется обработка персональных данных, разрешенных субъектом для распространения при условии соблюдения оператором запретов и условий (ст. 10.1 152-ФЗ);

  • персональные данные включают в себя только ФИО субъектов;

  • осуществляется обработка персональных данных, необходимых в целях однократного пропуска субъекта на территорию, на которой находится оператор, или в иных аналогичных целях.

После 1 сентября 2022 г. этот перечень утратит силу. Операторы будут иметь право не направлять уведомление в РКН только в следующих случаях:

  • персональные данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

  • оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;

  • персональные данные обрабатываются в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

О чем подумать, что сделать

Основная часть изменений в 152-ФЗ вступает в силу с 1 сентября 2022 г.

Положения о трансграничной передаче персональных данных вступают в силу с 1 марта 2023 г.

Компаниям целесообразно уже начать предпринимать шаги по приведению деятельности в соответствие с новыми требованиями законодательства в области персональных данных.

В частности, компаниям рекомендуется:

  • провести аудит процессов обработки персональных данных для внесения изменений в локальные акты и направления уведомления в РКН об обработке персональных данных;

  • иностранным компаниям, осуществляющим обработку персональных данных граждан РФ, привести деятельность по такой обработке в соответствие со 152-ФЗ;

  • запросить у лиц, осуществляющих обработку персональных данных по поручению, информацию о соблюдении требований 152-ФЗ, а также внести изменения в договоры, содержащие поручение на обработку персональных данных;

  • провести аудит согласий на обработку персональных данных субъектов и при необходимости привести их текст в соответствие с требованиями 152-ФЗ;

  • пересмотреть процессы реагирования на запросы субъектов и РКН в целях сокращения сроков по подготовке ответов;

  • компаниям, осуществляющим трансграничную передачу персональных данных, на дату вступления в силу Закона определить перечень государств, на территорию которых осуществляется передача, и запросить предусмотренные Законом сведения у иностранных контрагентов для направления уведомления в РКН до 1 марта 2023 г.

Заблаговременное выявление и устранение нарушений позволит снизить правовые риски, возможные дополнительные расходы на устранение последствий, а также избежать репутационных потерь.

Помощь консультанта

Специалисты «Пепеляев Групп» обладают обширным опытом всесторонней поддержки бизнеса по вопросам соблюдения законодательства, выявлению и оценке правовых рисков, а также разработке бизнес-ориентированных предложений по минимизации выявленных рисков.

В спектр услуг «Пепеляев Групп» входят:

  • консультирование по вопросам соблюдения законодательства в области персональных данных;

  • проведение комплексного аудита процессов обработки персональных данных на предмет соответствия требованиям законодательства;

  • разработка и/или внесение изменений в локальные акты компаний, регламентирующие процессы обработки персональных данных, включая положения о порядке взаимодействия с лицами, осуществляющими обработку персональных данных по поручению оператора;

  • разработка и/или внесение изменений в согласия субъектов на обработку персональных данных согласно требованиям 152-ФЗ;

  • разработка внутренних регламентов компаний и инструкций для работников по реагированию на обращения и запросы субъектов персональных данных и РКН;

  • подготовка уведомлений, предусмотренных 152-ФЗ, и подлежащих направлению в РКН;

  • представление интересов компаний при взаимодействии с государственными органами и в судах по спорам, связанным с обработкой персональных данных. 

[1] Федеральный закон от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности».
[2] https://digital.gov.ru/ru/personaldata/
[3] Разъяснения РКН на часто задаваемые вопросы о защите прав субъектов персональных данных.
[4] Статья предусматривает меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных 152-ФЗ.
[5] Рекомендации РКН по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»
[6] К таким государствам относятся государства, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иные государства, обеспечивающие адекватную защиту прав субъектов персональных данных, включенные в специализированный перечень согласно Приказу РКН от 15.03.2013 № 274.
[7] Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ.

Если Вы заметили ошибку или опечатку, выделите ее и нажмите CTRL+Q

Вас также может заинтересовать

skill

23.10.2024

Корпоративные убытки в банкротстве: что изменилось? Юлия Литовцева

В этом ролике Юлия Литовцева, партнер и руководитель практики банкротства и антикризисной защиты бизнеса «Пепеляев Групп», расскажет о разграничении кредиторских и корпор...

Смотреть

15.11.2024

Персональные данные. Дайджест за 1-14 ноября 2024 г.

Главные новости: страховщики запустят возмещения от утечек данных до конца 2025 года; Роскомнадзор заявил об утеч...

02.11.2024

Персональные данные. Дайджест за май-октябрь 2024 г.

Главные новости: Приказ Министерства транспорта Российской Федерации от 02.05.2024 № 162 «Об утверждении порядка ...

29.10.2024

Весьма чувствительные. Как правильно обрабатывать персональные данные пациентов

Совет Федерации предложил обязать компании, работающие с персональными данными клиентов, иметь финансовое обеспечение. К...

30.08.2024

Грань между свободой и безопасностью: как ее найти в деле Павла Дурова

Задержание во Франции основателя мессенджера «Телеграм» Павла Дурова в рамках расследования преступлений, связанных с работой...