14 июля 2022 года был принят Федеральный Закон №266 «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности». Изменения направлены на усиление требований к операторам при обработке персональных данных и взаимодействии с Роскомнадзором. Они охватывают широкий круг вопросов и затрагивают большинство операторов.
Кроме того, в результате принятых изменений положения российского законодательства о персональных данных должны применяться к обработке персональных данных граждан России, осуществляемой иностранными юридическими лицами или иностранными физическими лицами на основании:
- договора, стороной которого являются граждане России,
- иных соглашений между иностранными юридическими лицами, иностранными физическими лицами и гражданами России,
- согласия гражданина России на обработку его персональных данных.
Большая часть изменений вступила в силу 1 сентября 2022 года, другая часть вступит 1 марта 2023 года. Более подробно – в нашем информационном обзоре.
Изменения, вступившие в силу 1 сентября 2022 года
Изменение / новое положение |
Что необходимо предпринять компании |
|
ч. 2 ст. 22 ФЗ «О персональных данных»
|
Отменен ряд ранее действовавших исключений из правила об обязательном уведомлении Роскомнадзора об обработке персональных данных (далее по тексту – «ПД»). Теперь компания должна проинформировать ведомство об обработке ПД своих работников, клиентов (даже когда данные о них нужны исключительно для заключения и исполнения договоров) и иных субъектов ПД, что означает возникновение обязанности по уведомлению Роскомнадзора практически для всего частного бизнеса. Следует отметить, что и до изменений в закон исключения из обязанности подавать уведомления об обработке ПД нивелировались практикой Роскомнадзора. Таким образом, для многих компаний обязанность по подаче уведомления существовала и ранее, до изменений от 1 сентября 2022 года. Теперь в уведомлении оператор должен предоставлять информацию исходя из целей обработки ПД, т.е. сначала должны быть указаны цели обработки, а затем к каждой цели должны быть перечислены категории персональных данных, категории субъектов ПД, правовое основание обработки, перечень действий с ПД и способы их обработки. |
Направление в Роскомнадзор уведомления об обработке персональных данных.
При этом предельный срок уведомления законом не определен – Роскомнадзор разъяснил, что 1 сентября 2022 года не является крайним сроком для подачи уведомления. Новая форма уведомления (учитывающая новое требование предоставлять данные по целям обработки) будет утверждена Роскомнадзором позже. На данный момент оператор вправе заполнить существующую форму на Портале ПД Роскомнадзора, которая данное требование не учитывает. |
п. 2 ч. 1 ст. 18.1 ФЗ «О персональных данных» |
Конкретизированы требования к содержанию документа, определяющего политику оператора в отношении обработки ПД. Теперь для каждой цели обработки необходимо отдельно указывать категории и перечень обрабатываемых ПД, категории субъектов, способы и сроки обработки и хранения, а также порядок уничтожения ПД. |
Необходимо привести политику обработки ПД к содержательному и формальному соответствию требованиям нового регулирования. |
ч. 2 ст. 18.1 ФЗ «О персональных данных» |
Документ, определяющий политику оператора в отношении обработки ПД, должен быть размещен на каждой странице сайта, на которой осуществляется сбор ПД.
|
Необходимо обновить соответствующие страницы сайта, если сбор ПД осуществляется через сайт.
|
п. 5 ч. 1 ст. 6 ФЗ «О персональных данных» |
Заключаемый с субъектом ПД договор не может содержать положения:
|
Необходимо пересмотреть процессы и документы компании для выявления процессов и документов, которые требуют изменений в связи с указанными запретами.
|
ч. 1 ст. 9 ФЗ «О персональных данных»
|
В закон внесли дополнительные требования к согласиям на обработку ПД, которые в той или иной степени были актуальны на практике и до внесения изменений:
До изменений в законе было зафиксированы только требования о том, что согласие должно быть конкретным, информированным и сознательным.
|
Проверить согласия на обработку ПД на предмет соответствия требованиям закона.
|
ст. 20 ФЗ «О персональных данных» |
Сокращен срок реагирования на запросы субъектов ПД или Роскомнадзора с 30 календарных дней до 10 рабочих дней с возможностью продлить до 15 рабочих дней. |
Данный срок необходимо иметь в виду в случае получения запросов от субъектов ПД или от Роскомнадзора. Также необходимо обновить данные сроки в локальных актах компании по вопросам обработки ПД. |
ч. 3, 6 ст. 6 ФЗ «О персональных данных» |
В тексте поручения к лицу, обрабатывающему ПД по поручению оператора (далее – «Обработчик») необходимо указывать дополнительную обязанность Обработчика – соблюдение требования локализации баз данных в России. Если Обработчиком является иностранная компания, то оператор и Обработчик несут ответственность наравне. |
Требование применимо к документам, заключаемым с Обработчиками ПД. Необходимо пересмотреть их формулировки и содержание на предмет соответствия требованиям нового регулирования. |
ч. 12 ст. 19 ФЗ «О персональных данных» |
Операторам будет необходимо выстроить взаимодействие с ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ), включая информирование о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПД. |
Необходимо дождаться издания подзаконного акта, который конкретизирует правила взаимодействия операторов ПД с ГосСОПКА.
|
ст. 21 ФЗ «О персональных данных» |
Введены новые обязанности оператора в случае утечки персональных данных. В случае утечки ПД оператор обязан:
|
Полагаем целесообразным разработать внутренний регламент расследования и уведомления об инцидентах. Форма нового уведомления об утечке уже утверждена Роскомнадзором. |
Изменения, который вступят в силу с 1 марта 2023 года
п. 5 ч. 1 ст. 18.1 ФЗ «О персональных данных» |
Будет применяться новый регламент для проведения “оценки вреда”, который может быть причинен субъектам ПД в случае нарушения требований по обработке и обеспечению безопасности ПД. |
Необходимо дождаться издания подзаконного акта, который конкретизирует новый порядок “оценки вреда”. |
ст. 12 ФЗ «О персональных данных» |
Будут установлены следующие режимы трансграничной передачи ПД:
|
В случае трансграничной передачи ПД необходимо направить уведомление в Роскомнадзор до 01.03.2023. Такое уведомление направляется отдельно от уведомления о намерении осуществлять обработку ПД. У лица, которому передаются данные, необходимо заранее получить информацию о принимаемых им мерах по защите ПД и условиям прекращения их обработки. Если оператор планирует передачу на территорию иностранного государства, не обеспечивающего адекватную защиту прав субъектов, то такая передача недопустима до получения разрешения Роскомнадзора по итогам рассмотрения уведомления. Форма уведомления о трансграничной передаче уже утверждена. |
ч. 7 ст. 22 ФЗ «О персональных данных» |
Изменены сроки уведомления Роскомнадзора в случае изменения подаваемых сведений, и введен срок для уведомления в случае прекращения обработки ПД компанией. |
На наш взгляд, изменение само по себе не требует изменения актов компании или обязательного специального издания новых, однако данное требование необходимо иметь в виду. |
На данный момент отсутствует практика по внесенным в закон изменениям.
Отдельно обращаем ваше внимание о внесении изменений в Закон РФ «О защите прав потребителей» (п. 4 ст. 16), касающиеся отказа от заключения договора с потребителем в связи с отказом потребителя предоставить согласие на обработку ПД. С 1 сентября 2022 года вступило в силу положение, согласно которому в случае отказа потребителя предоставить свои ПД компания вправе отказать потребителю в заключении договора только в том случае, если данные нужны для его исполнения или если этого требует закон. Объяснить это потребителю по его запросу нужно незамедлительно (если запрос субъекта ПД поступил в устной форме) или в течение 7 календарных дней (если запрос субъекта поступил в письменной форме).
Также обращаем ваше внимание, что согласно Постановлению Правительства РФ от 10.03.2022 № 336 до конца 2022 года на плановые проверки Роскомнадзора наложен мораторий. Внеплановые проверки возможны в строго определенных случаях, например, при непосредственной угрозе причинения вреда жизни и тяжкого вреда здоровью граждан; при непосредственной угрозе обороне страны и безопасности государства и т. д., а также по поручению Президента РФ, Председателя Правительства, прокурора и т. д.
Эксперты «Мариллион» готовы помочь в оценке соблюдения компанией требований законодательства о персональных данных, в предоставлении рекомендаций по построению процессов работы с персональными данными и оформлении необходимых документов и уведомлений, а также в подготовке и доработке существующих документов.