Какие еще произошли изменения:
1. В договор с физическим лицом нельзя будет включать положение о том, что его бездействие подразумевает разрешение на заключение договора, в котором он будет выгодоприобретателем или поручителем (п. 3а ст. 1 266-ФЗ).
2. Появляются дополнительные требования о «предметности и однозначности» согласия на обработку ПД (ч. 1 ст. 9 Закона № 152-ФЗ).
Ранее от такого согласия требовалось быть конкретным, информированным и сознательным. Теперь оно должно быть еще и предметным, а также однозначным.
На настоящий момент ни в законе, ни в судебной практике нет точного определения этих понятий. На наш взгляд, таким нововведением законотворцы уточнили, что формулировки в согласии должны быть четкими, конкретными и понятными.
Рекомендуем пересмотреть формы согласий на обработку персональных данных в организации и исключить из них абстрактные формулировки.
3. Обработка персональных данных третьим лицом
Если оператор поручает обработку персональных данных третьему лицу, то в поручение, помимо прежних условий, с 1 сентября 2022 года необходимо включать (ч. 3 ст. 6 Закона № 152-ФЗ):
- перечень персональных данных;
- условие, что при сборе персональных данных обработчик должен использовать базы данных, находящиеся на территории РФ (ч. 5 ст. 18 Закона № 152-ФЗ);
- обязанность обработчика об исполнении требований ст. 18.1 Закона № 152-ФЗ;
- обязанность обработчика предоставлять по запросу оператора (в течение срока действия поручения) документы и иную информацию, подтверждающие принятие мер и соблюдение требований Закона № 152-ФЗ.
4. Использование данных иностранными лицами
Ст. 1 Закона № 152-ФЗ дополнили частью 1.1, где отмечено, что его положения в том числе распространяются на иностранных юридических и физических лиц, которые обрабатывают персональные данные граждан Российской Федерации.
Также с 1 сентября в случае передачи иностранному юридическому или физическому лицу персональных данных для обработки ответственность несут как оператор, так и обработчик персональных данных (ч. 6 ст. 6 Закона № 152-ФЗ).
5. Оператор должен будет отреагировать на запрос субъекта ПД о предоставлении сведений по ч. 7 ст. 14 152-ФЗ в течение 10 рабочих дней (п. 8а, п. 12 ст. 1 266-ФЗ). Раньше срок ответа составлял 30 дней.
Ответ предоставляется в той же форме, в которой был представлен запрос, например по электронной почте, за исключением случаев, когда субъект указывает в запросе иную форму предоставления информации.
6. Срок в 10 рабочих дней вместо 30 календарных устанавливается и для ответа в Роскомнадзор (п. 12 ст. 1 266-ФЗ). Об утечке персональных данных нужно будет сообщить в ведомство в течение 24 часов с момента инцидента, а в течение 72 часов - проинформировать о результатах внутреннего расследования (п. 13 ст. 1 266-ФЗ).
7. Оператор обязан будет подключиться к системе ГосСОПКА, чтобы передавать туда информацию о компьютерных инцидентах, повлекших утечку персональных данных (п. 12 ст. 1 266-ФЗ).
8. Оператор должен будет прекратить обработку ПД или обеспечить прекращение обработки при договоре с обработчиком в течение 10 рабочих дней с даты получения соответствующего требования от гражданина (п. 13 ст. 1 266-ФЗ).
9. Уточнены требования к содержанию документов, определяющих политику оператора в отношении обработки ПД, локальных актов по вопросам обработки ПД.
С 1 сентября 2022 года в соответствии со ст. 18.1 Закона № 152-ФЗ документ должен включать:
- категории и перечень данных, а также категории субъектов персональных данных для каждой цели обработки;
- способы и сроки обработки и хранения данных;
- порядок уничтожения персональных данных.
В законе отдельно отметили, что документы по персональным данным не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на операторов не предусмотренные законодательством Российской Федерации полномочия и обязанности (п. 2 ч. 1 ст. 18.1 Закона № 152-ФЗ).
10. Конкретизировано, где именно в соответствующей информационно-телекоммуникационной сети оператор, осуществляющий сбор ПД с использованием таких сетей, обязан опубликовать документ, определяющий его политику в отношении обработки ПД, и сведения о реализуемых требованиях к защите ПД. Согласно поправкам, опубликовать их необходимо «в том числе на страницах принадлежащего оператору сайта в интернете, с использованием которых осуществляется сбор ПД».
11. Уточнены положения, касающиеся обработки биометрических персональных данных. Установлено, что предоставление биометрических персональных данных не может быть обязательным, за исключением ряда случаев, указанных напрямую в Федеральном законе № 152-ФЗ. Кроме того, установлен прямой запрет операторам на отказ гражданам в обслуживании при отказе субъекта персональных данных предоставить биометрические персональные данные и (или) дать согласие на обработку персональных данных, если такое предоставление не является обязательным.
Все изменения в законодательном регулировании необходимо будет отразить в локальных нормативных документах Оператора, которые разрабатываются по требованиям ст. 18.1 152-ФЗ.
🟢 Рекомендуем пересмотреть документы по персональным данным и актуализировать их в соответствии с новыми требованиями законодательства.
❗ Какие изменения вступят в силу с 1 марта 2023 года
1. Трансграничная передача персональных данных
Весной 2023 года начнут действовать положения о трансграничной передаче персональных данных, то есть передаче их на территорию иностранного государства: зарубежным органам власти, компаниям или физлицам.
Во-первых, Роскомнадзор будет утверждать список стран, обеспечивающих адекватную защиту ПД. В него, прежде всего, будут включать государства-участники Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.
Во-вторых, ОПД должны будут уведомлять Роскомнадзор до начала трансграничной передачи ПД. Ведомство, в свою очередь, может запретить или ограничить предоставление персональных данных иностранцам (п. 7 ст. 1 266-ФЗ).
Еще одно нововведение коснется выписок из ЕГРН. Если собственник недвижимости не подаст заявление о согласии на предоставление его персональных данных третьим лицам, то те по общему правилу не смогут их получить. Без согласия субъекта ПД Роскадастр даст выписки с личными сведениями ограниченному кругу лиц, например, нотариусам или кадастровым инженерам (ст. 4 266-ФЗ).
Это означает, что Единый реестр недвижимости становится закрытым. Предполагается, что эта мера защитит собственников имущества от мошенников, но такие данные не смогут также получить журналисты или общественники при расследовании коррупционных правонарушений.
2. Уведомление об обработке персональных данных
Изменяется срок уведомления Роскомназора в случае, если изменились сведения, ранее представленные в уведомлении об обработке персональных данных. Проинформировать нужно не позднее 15-го числа месяца, следующего за месяцем, в котором возникли изменения (ч. 7 ст. 22 Закона № 152-ФЗ).
