Контакты Скачать
  • Главная
  • Компания
  • История
  • Акционерам и инвесторам
  • Регалии
  • Лицензии и сертификаты
  • Партнеры
  • Руководство
  • Проектный опыт
  • Отзывы заказчиков
  • Пресс-центр
  • Карьера
  • Продукты
  • БДМ
  • ЗАСТАВА
  • ПО ElvisSIM.OS
  • Продукты других производителей
  • Услуги и решения
  • Соответствие требованиям
  • Аудит ИБ
  • Облака и виртуализация
  • Управление ИБ
  • Управление доступом
  • Сетевая безопасность
  • Защита приложений
  • Поддержка и аутсорсинг
  • Защита АСУТП
  • Защита ГИС
  • Защита от вредоносного кода, спама и контроль трафика
  • Центр компетенции
  • FAQ
  • Экспертный совет
  • Комментарии экспертов
  • Материалы мероприятий
  • Информаториум
  • Видео и скринкасты
  • Новости
  • Мероприятия
  • Календарь мероприятий
  • Партнерам
  • Архив мероприятий
  • Покой нам только снится: об очередной реформе законодательства о персональных данных

    15.08.2022
    Булаев Михаил Александрович, ведущий консультант-аналитик

    14 июля 2022 года Президентом РФ был подписан довольно объемный Федеральный закон № 266-ФЗ с длинным названием "О внесении изменений в Федеральный закон "О персональных данных", отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона "О банках и банковской деятельности".
    В соответствии с этим законом существенно изменяются условия обработки персональных данных - фактически это означает очередную достаточно радикальную реформу законодательства о персональных данных. Закон вступает в силу совсем скоро - с 1 сентября этого года, хотя некоторые положения закона начинают действовать только с 1 марта 2023 года.

    А теперь об основных нововведениях (новеллах) закона.

    • Согласно вновь введённому п. 1.1 статьи 1 положения закона применяются к обработке персональных данных граждан Российской Федерации, осуществляемой иностранными юридическими лицами или иностранными физическими лицами. Т.е. устанавливается принцип экстерриториальности действия закона, другими словами, требования закона должны выполнять и иностранные юридические или физические лица в случае обработки ими персональных данных граждан Российской Федерации, в том числе и на своей территории. Это положение касается и владельцев зарубежных интернет-сайтов, направленных на пользователей, находящихся на территории Российской Федерации.
    • Устанавливается обязанность согласования нормативных правовых актов, издаваемых государственными органами, Банком России, органами местного самоуправления с уполномоченным органом по защите прав субъектов персональных данных (Роскомнадзором) в случаях, если эти нормативные правовые акты регулируют отношения, связанные с осуществлением трансграничной передачи персональных данных, обработкой специальных категорий персональных данных, биометрических персональных данных, персональных данных несовершеннолетних, предоставлением, распространением персональных данных, полученных в результате обезличивания. При этом устанавливается, что срок согласования не может превышать тридцати дней с даты поступления нормативного правового акта в Роскомнадзор.
    • Большие изменения претерпевает ст. 6 закона, устанавливающая условия обработки персональных данных, в том числе:
               • Устанавливаются ограничения на содержание заключаемого с субъектом персональных данных договора в части того, что он не может содержать положения, ограничивающие права и свободы субъекта, устанавливающие случаи обработки персональных данных несовершеннолетних, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных.
               • Существенно переработана ч. 3 ст. 6 в части конкретизации содержания договора -поручения оператора на обработку персональных данных третьими лицами. Теперь в таком договоре должны быть определены:
                    - перечень обрабатываемых персональных данных;
                    - перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных;
                    - цели их обработки;
                    - должна быть установлена обязанность 3-го лица соблюдать конфиденциальность персональных данных и требования, предусмотренные частью 5 статьи 18 и статьей 18.1 закона;
                    - обязанность 3-го лица по запросу оператора в течение срока действия договора, в том числе и до передачи на обработку персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение требований в целях исполнения договора,
                    - обязанность обеспечивать безопасность персональных данных при их обработке;
                    - должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 закона;
                    - должно быть указано требование об уведомлении оператора о случаях неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных.
               • Дополнительно в ст. 6 введена часть 6, устанавливающая, что в случае, если оператор поручает обработку персональных данных иностранному физическому или юридическому лицу, ответственность перед субъектом персональных данных за действия указанных лиц несет и оператор, и лицо, осуществляющее обработку персональных данных по поручению оператора.

    • Изменены требования к согласию на обработку персональных данных (ч. 1 ст. 9). К условиям его получения помимо "конкретности, информированности и сознательности" добавлено требование обеспечить его  "предметность и однозначность".
    • Уточнены условия обработки биометрических персональных данных (ч. 6 ст. 11):
               • Предоставление биометрических персональных данных не может быть обязательным, за исключением случаев, предусмотренных ч. 2 ст. 1.
               • Оператор не вправе отказывать в обслуживании в случае отказа субъекта персональных данных предоставить биометрические персональные данные и (или) дать согласие на обработку персональных данных, если в соответствии с федеральным законом получение оператором согласия на обработку персональных данных не является обязательным.
    Тут также необходимо отметить, что в настоящее время готовится ряд нормативных актов, регламентирующих существенные изменения порядка обработки биометрических персональных данных (часть которых уже принята), и в обозримом будущем Роскомнадзор планирует выпустить соответствующие разъяснения взамен разъяснений от 2 сентября 2013 г. "О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки", отмененных письмом Роскомнадзора от 19 ноября 2021 г. № 09-78548. Будем ждать этих разъяснений.

    • Полностью переработана в сторону ужесточения ст. 12 "Трансграничная передача персональных данных", теперь она содержит 15 пунктов. Основные изменения заключаются в следующем:
               • Роскомнадзор утверждает перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных.
               • Оператор до начала осуществления деятельности по трансграничной передаче персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять трансграничную передачу персональных данных. Это уведомление направляется отдельно от уведомления о намерении осуществлять обработку персональных данных и должно содержать следующие сведения:
                    - наименование (фамилия, имя, отчество), адрес оператора, а также дата и номер уведомления о намерении осуществлять обработку персональных данных, ранее направленного оператором;
                    - наименование (фамилия, имя, отчество) лица, ответственного за организацию обработки персональных данных, номера контактных телефонов, почтовые адреса и адреса электронной почты;
                    - правовое основание и цель трансграничной передачи персональных данных и дальнейшей обработки передаваемых персональных данных;
                    - категории и перечень передаваемых персональных данных;
                    - категории субъектов персональных данных, персональные данные которых передаются;
                    - перечень иностранных государств, на территории которых планируется трансграничная передача персональных данных;
                    - дата проведения оператором оценки соблюдения органами власти иностранных государств, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача персональных данных, конфиденциальности персональных данных и обеспечения безопасности персональных данных при их обработке.
    От обязанности предоставлять такое уведомление решением правительства Российской Федерации могут быть освобождены государственные и муниципальные органы.

               • Оператор до подачи такого уведомления обязан получить от органов власти иностранного государства, иностранных физических лиц, иностранных юридических лиц, которым планируется трансграничная передача персональных данных, следующие сведения:
                    - сведения о принимаемых органами власти иностранного государства, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача персональных данных, мерах по защите передаваемых персональных данных и об условиях прекращения их обработки;
                    - информация о правовом регулировании в области персональных данных иностранного государства, под юрисдикцией которого находятся органы власти иностранного государства, иностранные физические лица, иностранные юридические лица, которым планируется трансграничная передача персональных данных (в случае, если предполагается осуществление трансграничной передачи персональных данных органам власти иностранного государства, иностранным физическим лицам, иностранным юридическим лицам, находящимся под юрисдикцией иностранного государства, не являющегося стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и не включенного в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных);
                    - сведения об органах власти иностранного государства, иностранных физических лицах, иностранных юридических лицах, которым планируется трансграничная передача персональных данных (наименование либо фамилия, имя и отчество, а также номера контактных телефонов, почтовые адреса и адреса электронной почты).

               • В целях оценки достоверности сведений, содержащихся в уведомлении оператора, эти сведения могут предоставляться оператором по запросу Роскомнадзора в течение десяти рабочих дней с даты получения такого запроса. Этот срок может быть продлен, но не более чем на пять рабочих дней.
               • Трансграничная передача персональных данных может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства, защиты экономических и финансовых интересов Российской Федерации, обеспечения дипломатическими и международно-правовыми средствами защиты прав, свобод и интересов граждан Российской Федерации, суверенитета, безопасности, территориальной целостности Российской Федерации и других ее интересов на международной арене:
                    - решение о запрещении или об ограничении трансграничной передачи персональных данных принимается Роскомнадзором по результатам рассмотрения уведомления в течение десяти рабочих дней с даты поступления уведомления;
                    - в случае принятия Роскомнадзором решения о запрещении или об ограничении трансграничной передачи персональных данных оператор обязан обеспечить уничтожение органом власти иностранного государства, иностранным физическим лицом, иностранным юридическим лицом ранее переданных им персональных данных.

    • Внесен ряд изменений в статьи 18 и 18.1, устанавливающие обязанности оператора, в том числе:
               • Установлена обязанность оператора в случае, если в соответствии с федеральным законом предоставление персональных данных и (или) получение оператором согласия на обработку персональных данных являются обязательными, разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку.
               • В статье 18.1 в части 1 слова «могут, в частности, относиться» заменены словами «в частности, относятся». Это означает, что соответствующие нормы из рекомендательных превращаются в обязательные.
               • Серьёзным изменениям подвергся п. 2 ст. 18.1, который теперь требует от оператора разрабатывать локальные акты по вопросам обработки персональных данных, определяющие для каждой цели обработки персональных данных:
                    - категории и перечень обрабатываемых персональных данных;
                    - категории субъектов, персональные данные которых обрабатываются;
                    - способы, сроки их обработки и хранения;
                    - порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований;
                    - такие локальные акты не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на операторов не предусмотренные законодательством Российской Федерации полномочия и обязанности.
               • Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных» теперь должна будет производится в соответствии с требованиями, установленными Роскомнадзором (раньше это оператор делал по своему усмотрению). Представляется, что это весьма непростой и неоднозначный процесс, подождём выхода очередного нормативного документа или рекомендаций по этому вопросу со стороны Роскомнадзора.

    • В статью 19, устанавливающую меры по обеспечению безопасности персональных данных при их обработке, дополнительно внесена обязанность оператора обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА), включая обязанность информирования о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных. Учитывая то, что в настоящее время в Российской Федерации зарегистрировано около 3 млн. юридических лиц и около 3 млн. индивидуальных предпринимателей, что фактически означает примерно 6 млн. операторов персональных данных, представляется, что это будет весьма непростой задачей. Подождём разъяснений и рекомендаций по этому вопросу со стороны очередного регулятора - органа исполнительной власти, уполномоченного в области обеспечения безопасности.
    • Ещё одно существенное нововведение (ч. 3.1 ст. 20) устанавливает необходимость информирования Роскомнадзора в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшего нарушение прав субъектов персональных данных, в следующие сроки и порядке:
               • В течение 24 часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом.
               • В течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

    • Внесен ряд существенных изменений в ст. 22, определяющую требования к уведомлению об обработке персональных данных. Согласно этим нововведениям:
               • Практически все операторы будут обязаны представлять уведомление в Роскомнадзор.
               • Дополнительно для каждой цели обработки персональных данных в уведомлении должны указываться следующие данные: категории персональных данных; категории субъектов, персональные данные которых обрабатываются; правовое основание обработки персональных данных; перечень действий с персональными данными; способы обработки персональных данных, что существенно усложнит процесс подготовки уведомления и увеличит его объём:
               • В случае изменения сведений, включенных в уведомление, оператор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения, обязан уведомить Роскомнадзор обо всех произошедших за указанный период изменениях.
               • В случае прекращения обработки персональных данных оператор обязан уведомить об этом Роскомнадзор в течение десяти рабочих дней с даты прекращения обработки персональных данных.
               • Формы соответствующих уведомлений устанавливаются Росконадзором.

    • И последнее (пока) изменение связано с возложением на Роскомнадзор новой функции, связанной с ведением реестра учета инцидентов в области персональных данных, определением порядка и условий взаимодействия с операторами в рамках ведения этого реестра и передачи информации о компьютерных инцидентах, повлекших неправомерную или случайную передачу (предоставление, распространение, доступ) персональных данных, в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности.
    В целом изменения Федерального закона «О персональных данных», показанные в этом обзоре, вступают в силу с 1 сентября 2022 года, а изменения порядка трансграничной передачи персональных данных, а также положения закона, возлагающие на Роскомнадзор подготовку требований по оценке вреда и форм уведомлений, вступают в силу с 1 марта 2023 года.
    Можно уверенно прогнозировать, что в ближайшем будущем операторам персональных данных придётся приложить немало усилий для выполнение вновь введенных требований.

    Возврат к списку