«Regforum», октябрь 2022
За последние несколько лет Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ (далее — Закон) претерпел немало изменений. 2022 год в этом плане не стал исключением. Поправки касаются как субъектов персональных данных, так и самих операторов персональных данных.
В первую очередь определим, что входит в понятие персональных данных (далее — ПД) — это любая информация, относящаяся прямо или косвенно к определенному физическому лицу: ФИО, номер телефона, почта, отпечатки пальцев, фотографии и т.д. То есть это любая информация, которая позволяет вас идентифицировать.
К примеру, при заказе/покупке какого-либо товара или услуги на интернет сайте продавца, вы оставляете свои контактные данные (ФИО, телефон для связи и проч.), в этом случае вы — субъект персональных данных, а продавец — оператор персональных данных.
14.07.2022 года президент РФ подписал Федеральный закон от 14.07.2022 г. № 266-ФЗ, который привносит масштабные изменения в Закон № 152-ФЗ, о самых ярких и поговорим ниже.
Соблюдайте новые требования к обработке персональных данных:
Нужна помощь с обработкой персональных данных? Воспользуйтесь нашим юридическим сопровождением. Для правильного оформления документов обратитесь за услугой составления договоров. Если нужна помощь с кадровыми вопросами, рассмотрите кадровый аутсорсинг.
Основные положения закона вступили в силу 01 сентября 2022 года, остальные положения, например, о трансграничной передачи персональных данных, вступят в силу с 01.03.2023 года.
С 1 сентября операторы персональных данных вынуждены менять подход к работе с ПД.
Теперь операторы должны будут уведомлять Роскомнадзор об утечке персональных данных в течение 24 часов с момента выявления факта такой утечки. Что довольно неплохо, учитывая крупный слив данных пользователей «Яндекс.Еды» в этом году. Теперь, когда подобное происходит (случайно или намеренно), оператор обязан сообщить об этом в Роскомнадзор. Более того, он также обязан провести свое собственное внутреннее расследование, а его результаты предоставить в соответствующий орган надзора, сообщив при этом о причинах (внешняя атака, ошибка сотрудника, намеренные действия ответственных лиц и др.), предполагаемых объемах причинения вреда в результате события, а также о тех мерах, которые были предприняты.
В настоящий момент нет никаких исключений по обязанности уведомления об утечки информации в части масштабов таких инцидентов — какие утечки будут признаваться незначительными, или наоборот достаточно крупными для уведомления Роскомнадзора. Возможно, в будущем поступят разъяснения или изменения от законодателя. Но пока, в их отсутствие, лучше приготовиться и заранее разработать соответствующий регламент, содержащий порядок действий при утечке персональных данных, назначить ответственных лиц и т.д.
Еще одно приятное для субъектов персональных данных и Роскомнадзора нововведение — сокращен срок реагирования оператором ПД на их запросы: с 30 дней до 10 рабочих дней (при обоснованной необходимости срок может быть продлен еще на пять рабочих дней).
Для обеспечения безопасности персональных данных субъектов, законодателем введены ограничения на включение в договоры определенных условий. Это касается тех условий, которые ограничивают права потребителей (субъектов). Например, когда компания пытается обусловить оказание услуг регистрацией на какой-либо интернет платформе, не связанной с оказанием услуг.
Также запрещено включать в договоры условия, которые предполагают те или иные правовые последствия вследствие бездействия. В частности, условие о том, что в случае не получения ответа от субъекта ПД о продлении договора, договор считается продленным — такое условие является незаконным.
Конечно, стоит внимания расширенный перечень тех лиц, которые обязаны уведомлять Роскомнадзор об обработке персональных данных. Ранее от организаций/ИП в своем большинстве не требовалось уведомлять Роскомнадзор в связи с рядом исключений, содержащихся в Законе. Например, ранее, если персональные данные работников обрабатывались исключительно в целях обеспечения соблюдения трудового законодательства, уведомление подавать не требовалось. Однако, с 01.09.2022 года данный перечень утратил силу и сейчас всем компаниям, за редким исключением (например, в случае обработки ПД без средств автоматизации), необходимо уведомлять надзорный орган об обработке персональных данных. Предельный срок уведомления Роскомнадзора об обработке персональных данных не определен, поэтому 01 сентября 2022 г. не является крайним сроком подачи уведомления об обработке персональных данных.
В новом тексте закона законодатель указывает, что «в случае, если оператор поручает обработку персональных данных иностранному физическому лицу или иностранному юридическому лицу, ответственность перед субъектом персональных данных за действия указанных лиц несет оператор и лицо, осуществляющее обработку персональных данных по поручению оператора.».
Таким образом, появилась ответственность обработчика персональных данных непосредственно перед субъектом персональных данных.
Такая ответственность, как видно из цитаты дополненного пункта, существует только в отношении иностранных обработчиков, в отношении российских — изменений нет.
Здесь же необходимо отметить регулирование вопроса трансграничной передачи персональных данных. В дополнение к установленным ранее положениям, с 01 марта 2023 г. Нужно будет уведомлять Роскомнадзор о своем намерении осуществлять трансграничную передачу ПД. То есть это необходимо в случае, если компания пользуется услугами исполнителя, база данных которого находится за пределами РФ.
Несмотря на то, что новый порядок будет применяться с 01 марта 2023 года, операторов, которые уже сейчас передают данные за границу, закон обязал направить в Роскомнадзор уведомление о трансграничной передаче до этой даты.
Кроме того, важное изменение касается возможности Роскомнадзора запретить или ограничить передачу персональных данных в определенных целях, например, в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, защиты экономических интересов Российской Федерации и др.
Новые положения устанавливают два порядка осуществления трансграничной передачи персональных данных: уведомительный и разрешительный. Уведомительный режим действует в отношении стран, обеспечивающих адекватную защиту прав субъектов персональных данных. В перечень иностранных государств, обеспечивающих такую защиту, включаются государства, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также те страны, которые включены в специальный перечень Роскомнадзора. В данном случае организации не придется ожидать решения уполномоченного органа для того, чтобы начать передачу ПД, достаточно лишь уведомить.
В ином случае, когда государство не обеспечивает адекватную защиту (то есть имеются в виду все остальные страны, не указанные выше), оператор, до истечения срока рассмотрения Роскомнадзором поданного уведомления, не вправе осуществлять трансграничную передачу персональных данных на территории указанных в уведомлении иностранных государств. Иными словами, оператору необходимо сначала получить соответствующее разрешение, и только после этого он вправе передавать ПД в интересующие страны.
Итак, законодатель, очевидно, попытался усилить защиту прав граждан на неприкосновенность частной жизни и ужесточить требования к операторам при обработке персональных данных, что мы собственно и видим, изучая новые положения закона. Хоть некоторые положения закона уже вступили в силу, законодатель все же дает время на приведение всей документации (внутренних регламентов, положений и т.д.), касающейся персональных данных, в соответствие с новыми правилами.