Покой нам только снится: об очередной реформе законодательства о персональных данных
- Согласно вновь введённому п. 1.1 статьи 1 положения закона применяются к обработке персональных данных граждан Российской Федерации, осуществляемой иностранными юридическими лицами или иностранными физическими лицами. Т.е. устанавливается принцип экстерриториальности действия закона, другими словами, требования закона должны выполнять и иностранные юридические или физические лица в случае обработки ими персональных данных граждан Российской Федерации, в том числе и на своей территории. Это положение касается и владельцев зарубежных интернет-сайтов, направленных на пользователей, находящихся на территории Российской Федерации.
- Устанавливается обязанность согласования нормативных правовых актов, издаваемых государственными органами, Банком России, органами местного самоуправления с уполномоченным органом по защите прав субъектов персональных данных (Роскомнадзором) в случаях, если эти нормативные правовые акты регулируют отношения, связанные с осуществлением трансграничной передачи персональных данных, обработкой специальных категорий персональных данных, биометрических персональных данных, персональных данных несовершеннолетних, предоставлением, распространением персональных данных, полученных в результате обезличивания. При этом устанавливается, что срок согласования не может превышать тридцати дней с даты поступления нормативного правового акта в Роскомнадзор.
- Большие изменения претерпевает ст. 6 закона, устанавливающая условия обработки персональных данных, в том числе:
• Существенно переработана ч. 3 ст. 6 в части конкретизации содержания договора -поручения оператора на обработку персональных данных третьими лицами. Теперь в таком договоре должны быть определены:
- перечень обрабатываемых персональных данных;
- перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных;
- цели их обработки;
- должна быть установлена обязанность 3-го лица соблюдать конфиденциальность персональных данных и требования, предусмотренные частью 5 статьи 18 и статьей 18.1 закона;
- обязанность 3-го лица по запросу оператора в течение срока действия договора, в том числе и до передачи на обработку персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение требований в целях исполнения договора,
- обязанность обеспечивать безопасность персональных данных при их обработке;
- должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 закона;
- должно быть указано требование об уведомлении оператора о случаях неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных.
- Изменены требования к согласию на обработку персональных данных (ч. 1 ст. 9). К условиям его получения помимо "конкретности, информированности и сознательности" добавлено требование обеспечить его "предметность и однозначность".
- Уточнены условия обработки биометрических персональных данных (ч. 6 ст. 11):
• Оператор не вправе отказывать в обслуживании в случае отказа субъекта персональных данных предоставить биометрические персональные данные и (или) дать согласие на обработку персональных данных, если в соответствии с федеральным законом получение оператором согласия на обработку персональных данных не является обязательным.
- Полностью переработана в сторону ужесточения ст. 12 "Трансграничная передача персональных данных", теперь она содержит 15 пунктов. Основные изменения заключаются в следующем:
• Оператор до начала осуществления деятельности по трансграничной передаче персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять трансграничную передачу персональных данных. Это уведомление направляется отдельно от уведомления о намерении осуществлять обработку персональных данных и должно содержать следующие сведения:
- наименование (фамилия, имя, отчество), адрес оператора, а также дата и номер уведомления о намерении осуществлять обработку персональных данных, ранее направленного оператором;
- наименование (фамилия, имя, отчество) лица, ответственного за организацию обработки персональных данных, номера контактных телефонов, почтовые адреса и адреса электронной почты;
- правовое основание и цель трансграничной передачи персональных данных и дальнейшей обработки передаваемых персональных данных;
- категории и перечень передаваемых персональных данных;
- категории субъектов персональных данных, персональные данные которых передаются;
- перечень иностранных государств, на территории которых планируется трансграничная передача персональных данных;
- дата проведения оператором оценки соблюдения органами власти иностранных государств, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача персональных данных, конфиденциальности персональных данных и обеспечения безопасности персональных данных при их обработке.
- сведения о принимаемых органами власти иностранного государства, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача персональных данных, мерах по защите передаваемых персональных данных и об условиях прекращения их обработки;
- информация о правовом регулировании в области персональных данных иностранного государства, под юрисдикцией которого находятся органы власти иностранного государства, иностранные физические лица, иностранные юридические лица, которым планируется трансграничная передача персональных данных (в случае, если предполагается осуществление трансграничной передачи персональных данных органам власти иностранного государства, иностранным физическим лицам, иностранным юридическим лицам, находящимся под юрисдикцией иностранного государства, не являющегося стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и не включенного в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных);
• Трансграничная передача персональных данных может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства, защиты экономических и финансовых интересов Российской Федерации, обеспечения дипломатическими и международно-правовыми средствами защиты прав, свобод и интересов граждан Российской Федерации, суверенитета, безопасности, территориальной целостности Российской Федерации и других ее интересов на международной арене:
- решение о запрещении или об ограничении трансграничной передачи персональных данных принимается Роскомнадзором по результатам рассмотрения уведомления в течение десяти рабочих дней с даты поступления уведомления;
- Внесен ряд изменений в статьи 18 и 18.1, устанавливающие обязанности оператора, в том числе:
• В статье 18.1 в части 1 слова «могут, в частности, относиться» заменены словами «в частности, относятся». Это означает, что соответствующие нормы из рекомендательных превращаются в обязательные.
• Серьёзным изменениям подвергся п. 2 ст. 18.1, который теперь требует от оператора разрабатывать локальные акты по вопросам обработки персональных данных, определяющие для каждой цели обработки персональных данных:
- категории и перечень обрабатываемых персональных данных;
- категории субъектов, персональные данные которых обрабатываются;
- способы, сроки их обработки и хранения;
- порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований;
- такие локальные акты не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на операторов не предусмотренные законодательством Российской Федерации полномочия и обязанности.
- В статью 19, устанавливающую меры по обеспечению безопасности персональных данных при их обработке, дополнительно внесена обязанность оператора обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА), включая обязанность информирования о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных. Учитывая то, что в настоящее время в Российской Федерации зарегистрировано около 3 млн. юридических лиц и около 3 млн. индивидуальных предпринимателей, что фактически означает примерно 6 млн. операторов персональных данных, представляется, что это будет весьма непростой задачей. Подождём разъяснений и рекомендаций по этому вопросу со стороны очередного регулятора - органа исполнительной власти, уполномоченного в области обеспечения безопасности.
- Ещё одно существенное нововведение (ч. 3.1 ст. 20) устанавливает необходимость информирования Роскомнадзора в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшего нарушение прав субъектов персональных данных, в следующие сроки и порядке:
- Внесен ряд существенных изменений в ст. 22, определяющую требования к уведомлению об обработке персональных данных. Согласно этим нововведениям:
• Дополнительно для каждой цели обработки персональных данных в уведомлении должны указываться следующие данные: категории персональных данных; категории субъектов, персональные данные которых обрабатываются; правовое основание обработки персональных данных; перечень действий с персональными данными; способы обработки персональных данных, что существенно усложнит процесс подготовки уведомления и увеличит его объём:
• В случае изменения сведений, включенных в уведомление, оператор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения, обязан уведомить Роскомнадзор обо всех произошедших за указанный период изменениях.
• В случае прекращения обработки персональных данных оператор обязан уведомить об этом Роскомнадзор в течение десяти рабочих дней с даты прекращения обработки персональных данных.
- И последнее (пока) изменение связано с возложением на Роскомнадзор новой функции, связанной с ведением реестра учета инцидентов в области персональных данных, определением порядка и условий взаимодействия с операторами в рамках ведения этого реестра и передачи информации о компьютерных инцидентах, повлекших неправомерную или случайную передачу (предоставление, распространение, доступ) персональных данных, в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности.
Можно уверенно прогнозировать, что в ближайшем будущем операторам персональных данных придётся приложить немало усилий для выполнение вновь введенных требований.