Как изменится закон о персональных данных с 1 сентября 2022 года — Контур

Как изменится закон о персональных данных с 1 сентября 2022 года

9 августа 2022 19

Осенью произойдут масштабные изменения в работе с персональными данными. Операторы должны быть готовы к очередному ужесточению требований. Законодательные новации будут направлены на совершенствование правовой защищенности субъектов персональных данных, а также усиление госконтроля в этой сфере.

Поправки в Федеральный закон от 27.07.2006 № 152-ФЗ вносит Федеральный закон от 14.07.2022 № 266-ФЗ. Некоторые положения этого закона начнут работать уже с 1 сентября 2022 года, но есть изменения, которые вступят в силу только 1 марта 2023 года — они затрагивают вопросы трансграничной передачи данных и порядок предоставления сведений из ЕГРН.

Ранее Федеральный закон от 30.12.2020 № 519-ФЗ определил три важных принципа для согласия на обработку ПД:

  1. Молчание или бездействие не считаются согласием на обработку ПД.  
  2. Согласие на обработку ПД, разрешенных для распространения, оформляется отдельно.
  3. В согласии на обработку ПД, разрешенных для распространения, можно установить запреты на передачу данных неограниченному кругу лиц.

С учетом тех изменений, которые планируются к сентябрю, нужно провести аудит документов и внести соответствующие поправки. Также рекомендуем следить за новостями и разъяснениями Роскомнадзора.  

Введение принципа экстерриториальности 

Если ранее в Федеральном законе от 27.07.2006 № 152-ФЗ (далее — 152-ФЗ) не было положений, регламентирующих его действия по территории и кругу лиц, то в новой редакции они появятся.

Закон будет применяться к иностранных юридическим и физическим лицам, если обработка персональных данных (далее — ПД) осуществляется на основании договора с гражданином РФ или с его согласия.

Обязанность сообщать об утечке персональных данных

Эксперты InfoWatch периодически делятся данными об утечках информации. Еще в отчетах за 2020 год они обращали внимание на то, что пандемия, оказывая сильное влияние на различные сферы жизни, действует и на формирование картины утечек.

2021 год запомнился развитием дистанционных каналов обслуживания, искусственного интеллекта и IT-сервисов. В этот период удаленная работа стала обычным явлением. «На этом фоне еще быстрее меняется ландшафт угроз информационной безопасности, – отмечают эксперты InfoWatch. – Все это отражается и на структуре утечек информации ограниченного доступа. Одним из главных факторов сокращения количества утечек в публичном пространстве стало повышение латентности (скрытности) инцидентов в компаниях».

Новая редакция закона обязывает оператора ПД обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы (ГосСОПКА). Цель такого новшества — заставить операторов информировать об инцидентах, которые повлекли неправомерную передачу ПД. То есть новая редакция 152-ФЗ предполагает усиление ответственности операторов обработки ПД за утечку данных.

Если инцидент с утечкой данных произойдет, оператор будет обязан:

  • уведомить о случившемся Роскомнадзор в течение 24 часов;
  • провести внутреннее расследование и уведомить службу о его результатах в течение 72 часов;
  • представить сведения о лицах, действия которых стали причиной инцидента (при наличии).

Сокращение сроков реагирования оператора на запросы

Оператору придется быстрее реагировать на запросы субъектов ПД и Роскомнадзора. Теперь он должен будет предоставить субъекту ПД сведения, касающиеся обработки его ПД, в течение не 30 рабочих дней, как ранее, а в течение 10 рабочих дней. Однако этот срок может быть продлен на 5 рабочих дней, если оператор направит в адрес субъекта мотивированное уведомление, в котором укажет причины отсрочки.

Если субъект обращается с требованием прекратить обработку ПД, то оператор должен отреагировать на него в течение 10 дней, то есть прекратить обработку данных.

Также по запросу Роскомнадзора оператор ПД должен предоставить необходимую информацию в течение 10 рабочих дней. При мотивированном уведомлении такой ответ можно продлить на 5 дней.

Усиление ответственности обработчика персональных данных

Ответственность будет усилена по отношению к иностранным обработчикам. Обработчик ПД — это лицо, которое обрабатывает данные на основании поручения.

Если ранее обработчик нес ответственность по поручению только перед оператором и, следовательно, не отвечал перед субъектами ПД, то с 1 сентября 2022 года при поручении обработки ПД иностранному лицу обработчик будет ответственен не только перед оператором, который поручил ему обработку, но и перед субъектом ПД.

Изменение требований к поручениям

В новой редакции 152-ФЗ уточняется, что обработчик данных обязан соблюдать принципы, правила обработки, конфиденциальность данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных законом.

В поручении оператор должен определить перечень ПД, перечень действий (операций) с данными, которые будут совершаться обработчиком, обязанность обработчика по соблюдению конфиденциальности. Кроме того, в поручении устанавливается обязанность по запросу оператора в течение срока действия поручения предоставлять документы и информацию, подтверждающие принятие мер и соблюдение обязанности по обеспечению безопасности ПД при их обработке.

В поручении должна быть отражена обязанность обработчика уведомлять оператора об утечках ПД.

Новое в уведомлении Роскомнадзора об обработке персональных данных

Согласно ст. 22 152-ФЗ, прежде чем приступить к обработке ПД, оператор должен уведомить Роскомнадзор о своем намерении. Для этого есть специальная анкета.

Ранее закон предусматривал несколько случаев, когда уведомление не требуется. В частности, если ПД включают только фамилии, имена и отчества; необходимы для однократного пропуска субъекта ПД на территорию, на которой находится оператор; обрабатываются в соответствии с трудовым законодательством и т.д.

Теперь перечень ситуаций, когда уведомление Роскомнадзора не требуется, радикально сокращен. Он включает только два пункта:

  • ПД, включенные в государственные информационные системы ПД, созданные в целях защиты безопасности государства и общественного порядка;
  • ситуацию, когда оператор осуществляет деятельность по обработке данных исключительно без использования средств автоматизации.

Новые требования к согласию на обработку персональных данных

Следует обратить внимание на появление новых признаков, которым должно соответствовать согласие субъекта ПД.

Ранее, как отмечается в ст. 9 152-ФЗ, такое согласие должно было быть конкретным, информированным и сознательным. С 1 сентября характеристики расширятся — согласие, помимо всего прочего, должно быть предметным и однозначным.

Изменение требований к политике обработки персональных данных

Теперь оператор должен в политике обработки ПД для каждой цели обработки указывать:

  • категории и перечень обрабатываемых ПД;
  • категории субъектов, данные которых обрабатываются;
  • способы, сроки их обработки и хранения;
  • порядок уничтожения ПД при достижении целей их обработки.

Для того, чтобы соответствовать этому требованию, придется провести аудит и определить цели, которые преследует компания при обработке ПД. А далее работать по каждой цели.

Кроме того, вносятся изменения и в правила публикации политики ПД. Она должна быть не просто размещена на сайте, а опубликована на страницах сайта, где осуществляется сбор данных.

Важно помнить, что политика обработки ПД не может содержать положения, которые ограничивают права субъектов ПД.

Новшества в обработке биометрических данных

С 1 сентября вступает в силу запрет оператора отказывать гражданам в оказании услуг, в случае если они не желают предоставлять биометрию и это не является обязательным требованием.

Согласно ст. 11 152-ФЗ к биометрическим данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (например, отпечатки пальцев).

Эгида: Безопасность

Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152

Узнать больше

Эгида: Безопасность

Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152

Узнать больше
Раз в неделю — дайджест материалов, достойных внимания Актуальные материалы раз в неделю
Подписаться
<
19 комментариев
Н
Здравствуйте, подскажите, пожалуйста, при оформлении согласия на обработку пд в сдюсшор для оцифровка в системе мой спорт могу ли я указать запрет на передачу пд неограниченное кругу лиц и будет ли иметь запрет силу?
Нл
Нужно ли согласие на обработку персональных данных 15 сентября 2022
нужно ли согласие на обработку персональных данных для однократного пропуска гражданина на территорию оператора или для аналогичных целей
Очередной дебилизм правительственных структур!!Можно подумать их не смогут достать те, кому это необходимо!!!Защитники хреновы блин , в лице РКН.Смех да и только!!!!
А из-за отказа на обработку ПД имеют право не пустить в спортивный зал?
ДК
Дарья Кулишова 5 сентября 2022
Добрый день. Как быть с покупателями (физ лица) у которых договор рассрочки на товар, есть и возвраты приходится делать, как товара с обменом так и возврат денег? Покупатели отказываются даже заявления на возврат писать, ссылаясь что мы не имеем права даже ФИО спрашивать. Хотя по указаниям ЦБ при возврате денег из кассы даже паспортные данные заполняются. Что в таких случаях делать?
К
Константин 31 августа 2022
В Роскомнадзоре по НСО сообщили что если оператор уже включен в реестр то повторное уведомление не требуется
Очеднная имитация бурной деятельности от РКН.
К ИПшникам решили приколебаться.
Оставьте малый бизнес в покое!
К
Константин 30 августа 2022
Если у нас на сайте расположен личный кабинет клиента, а для активации субъект ПД вводит свои данные - возникает ли у нас обязанность уведомлять Роскомнадзор?
Константин, РКН ещё сам не знает, просто нужно оправдать содержание целой шайки чиновников.
От их требований не холодно не жарко.
Инцидентов не убавится. Там в форме уведомления нужео указать класс защищённости СКЗИ, не каждый айтишник знает, что это такое.
Вы бы людям объяснили, что вы от них хотите. А нахрена это нужно если всё можно взять в госуслугах? В том числе сведения об СКЗИ, когда подпись выдают, пусть снимают сведения о токене и автоматически их передают, зачем пудрить людям мозги?
СГ
Сергей Горелов 24 августа 2022
Что отправлять в РКН, если мы храним перс.данные сотрудников в сервисе Эльба?
Яна Аржанова, главный редактор Изменен 29 августа 2022
Сергей Горелов, добрый день! В Роскомнадзор подают уведомление о самом факте сбора персональных данных, например, личных данных сотрудников в рамках трудового договора. Это значит, что передавать информацию о сотрудниках, посетителях или контрагентах, чьи данные вы собираете, храните и обрабатываете — не надо.
Также не играет роли, в каком сервисе вы храните данные сотрудников, важен только факт сбора.
Е
Екатерина 24 августа 2022
Добрый день, подскажите, если ведем ФИС ФРДО, нужно ли регистрироваться в реестр операторов?