С 1 сентября 2022 года вступает в силу Федеральный закон № 266 (за исключением отдельных положений), которым вносятся изменения в нормативно-правовые акты, регулирующие обработку персональных данных.
Основные изменения:
1. Принцип экстерриториальности действия закона о персональных данных
Федеральный закон № 152-ФЗ «О персональных данных» подлежит применению к обработке персональных данных граждан РФ, осуществляемой иностранными юридическими или физическими лицами:
-
на основании договора, стороной которого являются граждане РФ, иных соглашений между иностранными юридическими лицами, иностранными физическими лицами и гражданами РФ; либо
- на основании согласия гражданина РФ на обработку персональных данных.
Таким образом, иностранные лица обязаны соблюдать положение Закона № 152-ФЗ при обработке персональных данных. Ранее применение Закона №152-ФЗ к иностранным лицам, не имеющим на территории РФ физического присутствия, носило ограниченный характер и основывалось на критериях направленности.
2. Новые правила трансграничной передачи персональных данных
До 1 марта 2023 года сохранится порядок передачи ПД. В государства, не обеспечивающие адекватную защиту прав субъектов ПД, передача ПД возможна в пяти случаях, указанных в Законе №152-ФЗ. Однако в страны, которые обеспечивают адекватную защиту ПД, наличие специальных оснований для передачи не требуется.
С 1 марта 2023 года операторы будут обязаны направлять уведомление в Роскомнадзор о намерении осуществлять трансграничную передачу ПД. При этом в зависимости от того, обеспечивает иностранное государство адекватную защиту прав субъектов ПД или нет, будет зависеть характер данного уведомления. Так, условно можно выделить два режима уведомлений:
-
Уведомительный режим. Он действует при передаче персональных данных в государства, обеспечивающие адекватную защиту прав субъектов ПД. В уведомлении указываются сведения о мерах защиты, принимаемых получателем, условия прекращения обработки персональных данных, а также сведения о лице, которому планируется передача персональных данных. После направления уведомления в РКН оператор вправе осуществлять трансграничную передачу персональных данных на территории указанных в уведомлении государств до принятия решения РКН о запрещении или об ограничении трансграничной передачи персональных данных. В случае принятия решения оператор обязан уничтожить персональные данные или обеспечить их уничтожение.
- Разрешительный режим. Он действует при передаче персональных данных в государства, не обеспечивающие адекватную защиту прав субъектов ПД.В уведомлении указываются сведения о мерах защиты, принимаемых получателем, и условиях прекращения обработки персональных данных, сведения о лице, которому планируется передача, информация о правовом регулировании персональных данных в стране. После направления уведомления в РКН оператор не вправе осуществлять трансграничную передачу персональных данных на территории указанных в уведомлении государств до получения решения РКН. Исключение на этот счет установлено для случаев, если передача персональных данных необходима для защиты жизни, здоровья, иных жизненно важных интересов субъекта ПД или других лиц. Персональные данные в случае получения решения РКН используются на территории указанных в уведомлении государств до принятия решения РКН о запрещении или об ограничении трансграничной передачи персональных данных. В случае принятия решения оператор обязан уничтожить персональные данные или обеспечить их уничтожение.
Уведомление можно подать как в бумажном, так и в электронном виде. В уведомление указываются:
-
Сведения об операторе, а также дата и номер уведомления, предусмотренного ст. 22 Закона 152-ФЗ;
-
Сведения о лице, ответственном за организацию обработки персональных данных;
-
Основание и цель трансграничной передачи персональных данных и дальнейшей обработки переданных ПД;
-
Категории и перечень передаваемых персональных данных;
-
Перечень иностранных государств, на территории которых планируется трансграничная передача персональных данных;
- Дата проведения оператором оценки соблюдения получателями персональных данных конфиденциальности и обеспечения безопасности при их обработке.
3. Введены дополнительные обязанности у лиц, осуществляющих обработку персональных данных по поручению оператора, а также у операторов
Лица, осуществляющие обработку персональных данных по поручению оператора теперь обязаны будут предпринимать меры, направленные на обеспечение выполнения обязанностей, установленных в Законе 152-ФЗ.
Операторы персональных данных обязаны уведомлять РКН о компьютерных инцидентах, повлекших нарушение прав субъектов персональных данных. Данная обязанность возникает с момента выявления компьютерного инцидента и предполагает направление двух уведомлений в РКН:
-
в течение 24 часов направляется уведомление с информацией об инциденте. В уведомлении указываются сведения: об инциденте, о предполагаемых причинах, о предполагаемом вреде, о мерах, принятых для устранения последствий.
- в течение 72 часов – о результатах внутреннего расследования инцидента, о лицах, действия которых стали причиной инцидента.
Оператор персональных данных должен будет провести внутреннее расследование компьютерного инцидента в течение трех суток с момента его выявления.
4. Операторы будут обязаны обеспечивать взаимодействие с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Р (ГосСОПКА), включая информирование о компьютерных инцидентах, которые повлекли неправомерную передачу персональных данных
В рамках взаимодействия с ГосСОПКА оператор персональных данных обязан уведомлять ФСБ о компьютерных инцидентах, которые произошли в результате неправомерных действий.
5. Сокращены сроки на исполнение запросов РКН
Срок на исполнение запросов РКН будет сокращен с 30 до 10 рабочих дней с даты их получения. Срок может быть продлен на основании мотивированного уведомления оператора не более чем на 5 рабочих дней.
6. Документы, определяющие политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, теперь должны определять для каждой цели обработки:
-
категории и перечень обрабатываемых персональных данных;
- категории субъектов персональных данных; способы, сроки обработки и хранения персональных данных;
- порядок уничтожение персональных данных при достижении целей обработки или при наступлении иных законных оснований.
Если сбор персональных данных осуществляется с использованием сети Интернет, то политика должна быть опубликована на соответствующих страницах сайта, на которых происходит сбор персональных данных.
7. Конкретизированы критерии, предъявляемые к согласию субъекта на обработку персональных данных
В настоящий момент закон определяет действительность согласия субъекта ПД наличием следующих критериев, предъявляемых к согласию – оно должно быть информированным, конкретным, сознательным.
Новый закон устанавливает, что согласие должно быть также предметным и однозначным. Данные критерии являются оценочными, их содержание в законе не раскрывается.
8. Иностранные физические или юридические лица, осуществляющие обработку персональных граждан РФ по поручению оператора, будут нести ответственность перед субъектами наряду с оператором.