Осенью произойдут масштабные изменения в работе с персональными данными. Операторы должны быть готовы к очередному ужесточению требований. Законодательные новации будут направлены на совершенствование правовой защищенности субъектов персональных данных, а также усиление госконтроля в этой сфере.
Поправки в Федеральный закон от 27.07.2006 № 152-ФЗ вносит Федеральный закон от 14.07.2022 № 266-ФЗ. Некоторые положения этого закона начнут работать уже с 1 сентября 2022 года, но есть изменения, которые вступят в силу только 1 марта 2023 года — они затрагивают вопросы трансграничной передачи данных и порядок предоставления сведений из ЕГРН.
Ранее Федеральный закон от 30.12.2020 № 519-ФЗ определил три важных принципа для согласия на обработку ПД:
- Молчание или бездействие не считаются согласием на обработку ПД.
- Согласие на обработку ПД, разрешенных для распространения, оформляется отдельно.
- В согласии на обработку ПД, разрешенных для распространения, можно установить запреты на передачу данных неограниченному кругу лиц.
С учетом тех изменений, которые планируются к сентябрю, нужно провести аудит документов и внести соответствующие поправки. Также рекомендуем следить за новостями и разъяснениями Роскомнадзора.
- Введение принципа экстерриториальности
- Обязанность сообщать об утечке персональных данных
- Сокращение сроков реагирования оператора на запросы
- Усиление ответственности обработчика персональных данных
- Изменение требований к поручениям
- Новое в уведомлении Роскомнадзора об обработке персональных данных
- Новые требования к согласию на обработку персональных данных
- Изменение требований к политике обработки персональных данных
- Новшества в обработке биометрических данных
Введение принципа экстерриториальности
Если ранее в Федеральном законе от 27.07.2006 № 152-ФЗ (далее — 152-ФЗ) не было положений, регламентирующих его действия по территории и кругу лиц, то в новой редакции они появятся.
Закон будет применяться к иностранных юридическим и физическим лицам, если обработка персональных данных (далее — ПД) осуществляется на основании договора с гражданином РФ или с его согласия.
Обязанность сообщать об утечке персональных данных
Эксперты InfoWatch периодически делятся данными об утечках информации. Еще в отчетах за 2020 год они обращали внимание на то, что пандемия, оказывая сильное влияние на различные сферы жизни, действует и на формирование картины утечек.
2021 год запомнился развитием дистанционных каналов обслуживания, искусственного интеллекта и IT-сервисов. В этот период удаленная работа стала обычным явлением. «На этом фоне еще быстрее меняется ландшафт угроз информационной безопасности, – отмечают эксперты InfoWatch. – Все это отражается и на структуре утечек информации ограниченного доступа. Одним из главных факторов сокращения количества утечек в публичном пространстве стало повышение латентности (скрытности) инцидентов в компаниях».
Новая редакция закона обязывает оператора ПД обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы (ГосСОПКА). Цель такого новшества — заставить операторов информировать об инцидентах, которые повлекли неправомерную передачу ПД. То есть новая редакция 152-ФЗ предполагает усиление ответственности операторов обработки ПД за утечку данных.
Если инцидент с утечкой данных произойдет, оператор будет обязан:
- уведомить о случившемся Роскомнадзор в течение 24 часов;
- провести внутреннее расследование и уведомить службу о его результатах в течение 72 часов;
- представить сведения о лицах, действия которых стали причиной инцидента (при наличии).
Сокращение сроков реагирования оператора на запросы
Оператору придется быстрее реагировать на запросы субъектов ПД и Роскомнадзора. Теперь он должен будет предоставить субъекту ПД сведения, касающиеся обработки его ПД, в течение не 30 рабочих дней, как ранее, а в течение 10 рабочих дней. Однако этот срок может быть продлен на 5 рабочих дней, если оператор направит в адрес субъекта мотивированное уведомление, в котором укажет причины отсрочки.
Если субъект обращается с требованием прекратить обработку ПД, то оператор должен отреагировать на него в течение 10 дней, то есть прекратить обработку данных.
Также по запросу Роскомнадзора оператор ПД должен предоставить необходимую информацию в течение 10 рабочих дней. При мотивированном уведомлении такой ответ можно продлить на 5 дней.
Усиление ответственности обработчика персональных данных
Ответственность будет усилена по отношению к иностранным обработчикам. Обработчик ПД — это лицо, которое обрабатывает данные на основании поручения.
Если ранее обработчик нес ответственность по поручению только перед оператором и, следовательно, не отвечал перед субъектами ПД, то с 1 сентября 2022 года при поручении обработки ПД иностранному лицу обработчик будет ответственен не только перед оператором, который поручил ему обработку, но и перед субъектом ПД.
Изменение требований к поручениям
В новой редакции 152-ФЗ уточняется, что обработчик данных обязан соблюдать принципы, правила обработки, конфиденциальность данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных законом.
В поручении оператор должен определить перечень ПД, перечень действий (операций) с данными, которые будут совершаться обработчиком, обязанность обработчика по соблюдению конфиденциальности. Кроме того, в поручении устанавливается обязанность по запросу оператора в течение срока действия поручения предоставлять документы и информацию, подтверждающие принятие мер и соблюдение обязанности по обеспечению безопасности ПД при их обработке.
В поручении должна быть отражена обязанность обработчика уведомлять оператора об утечках ПД.
Новое в уведомлении Роскомнадзора об обработке персональных данных
Согласно ст. 22 152-ФЗ, прежде чем приступить к обработке ПД, оператор должен уведомить Роскомнадзор о своем намерении. Для этого есть специальная анкета.
Ранее закон предусматривал несколько случаев, когда уведомление не требуется. В частности, если ПД включают только фамилии, имена и отчества; необходимы для однократного пропуска субъекта ПД на территорию, на которой находится оператор; обрабатываются в соответствии с трудовым законодательством и т.д.
Теперь перечень ситуаций, когда уведомление Роскомнадзора не требуется, радикально сокращен. Он включает только два пункта:
- ПД, включенные в государственные информационные системы ПД, созданные в целях защиты безопасности государства и общественного порядка;
- ситуацию, когда оператор осуществляет деятельность по обработке данных исключительно без использования средств автоматизации.
Новые требования к согласию на обработку персональных данных
Следует обратить внимание на появление новых признаков, которым должно соответствовать согласие субъекта ПД.
Ранее, как отмечается в ст. 9 152-ФЗ, такое согласие должно было быть конкретным, информированным и сознательным. С 1 сентября характеристики расширятся — согласие, помимо всего прочего, должно быть предметным и однозначным.
Изменение требований к политике обработки персональных данных
Теперь оператор должен в политике обработки ПД для каждой цели обработки указывать:
- категории и перечень обрабатываемых ПД;
- категории субъектов, данные которых обрабатываются;
- способы, сроки их обработки и хранения;
- порядок уничтожения ПД при достижении целей их обработки.
Для того, чтобы соответствовать этому требованию, придется провести аудит и определить цели, которые преследует компания при обработке ПД. А далее работать по каждой цели.
Кроме того, вносятся изменения и в правила публикации политики ПД. Она должна быть не просто размещена на сайте, а опубликована на страницах сайта, где осуществляется сбор данных.
Важно помнить, что политика обработки ПД не может содержать положения, которые ограничивают права субъектов ПД.
Новшества в обработке биометрических данных
С 1 сентября вступает в силу запрет оператора отказывать гражданам в оказании услуг, в случае если они не желают предоставлять биометрию и это не является обязательным требованием.
Согласно ст. 11 152-ФЗ к биометрическим данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (например, отпечатки пальцев).
Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152
Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152
К ИПшникам решили приколебаться.
Оставьте малый бизнес в покое!
От их требований не холодно не жарко.
Инцидентов не убавится. Там в форме уведомления нужео указать класс защищённости СКЗИ, не каждый айтишник знает, что это такое.
Вы бы людям объяснили, что вы от них хотите. А нахрена это нужно если всё можно взять в госуслугах? В том числе сведения об СКЗИ, когда подпись выдают, пусть снимают сведения о токене и автоматически их передают, зачем пудрить людям мозги?
Также не играет роли, в каком сервисе вы храните данные сотрудников, важен только факт сбора.