С осени 2022 года заработают серьезные изменения в работе с персональными данными. Корректировки будут связаны с усовершенствованием правовой защищенности субъектов персональных сведений, а также усилением государственного контроля в этой сфере.
На основании Закона от 14.07.2022 г. № 266-ФЗ приняты корректировки в Закон от 27.07.2006 г. № 152-ФЗ. Некоторые положения будут действовать с 01.09.2022 г., другие же — с 01.03.2023 г. (которые касаются вопросов трансграничной передачи сведений и порядка предоставления информации их ЕГРН).
Ранее Законом от 30.12.2020 г. № 519-ФЗ определялись три важнейших принципа для согласия на обработку персональных данных:
- Молчание или бездействие — это не согласие на обработку.
- Согласие на обработку персональной информации, которая разрешена для распространения, оформляется отдельным документом.
- В согласии на обработку персональной информации, которая разрешена для распространения, можно указать запреты на передачу сведений неограниченному кругу лиц.
На основании корректировок, планируемых в сентябре, требуется произвести аудит документов и внести необходимые изменения. Кроме того, желательно отслеживать новости и разъяснения Роскомнадзора.
Ввод принципа экстерриториальности
Раньше в Законе от 27.07.2006 г. № 152-ФЗ не было положений, которые регламентировали его действия по территории и кругу лиц. На основании принятых корректировок этот момент исправлен.
Обновленная редакция закона будет применяться к иностранным юрлицам и физлицам, если обработка персональных сведений производится на основании договора с гражданином России или с его согласия.
Обязанность уведомлять об утечке персональной информации
Периодически происходит утечка персональных сведений, к примеру, еще в 2020 году специалисты обращали внимание на то, что пандемия оказывала влияние на разные сферы жизни, в том числе действовала и на формирование картины утечек.
В 2021 году наблюдалось серьезное развитие дистанционных каналов обслуживания, искусственного интеллекта и IT-платформ. В прошлом году дистанционная работа стала обычным явлением. Эксперты отметили, что на этом фоне быстрее изменялся ландшафт угроз информационной безопасности, что отразилось и на структуре утечек сведений ограниченного доступа. Один из основных факторов уменьшения числа утечек в публичном пространстве — повышение уровня сокрытий инцидентов в компаниях.
В соответствии с новой редакцией закона операторы персональных данных обязаны обеспечивать взаимодействие с госсистемой выявления, предупреждения и устранения последствий компьютерных атак на информационные ресурсы (ГосСОПКА). Задача нововведения — заставить операторов сообщать об инцидентах, повлекших неправомерную передачу персональных сведений. Иными словами, обновленная редакция Закона № 152-ФЗ предусматривает усиление ответственности операторов обработки персональных сведений за утечку информации.
Если произойдет ситуация с утечкой персональной информации, оператор должен:
- направить уведомление о произошедшем в Роскомнадзор — не позже 24-х часов;
- произвести внутреннее расследование и уведомить службу о его результатах — не позже 72-х часов;
- предоставить информацию о лицах, действия которых послужили причиной происшествия (при их наличии).
Сокращение сроков реагирования оператора на запросы
Оператору нужно оперативно реагировать на запросы, поступающие от субъектов персональных сведений и Роскомнадзора. Ему нужно будет передавать субъекту информацию, которая касается обработки его персональных сведений, не позже 10-ти рабочих дней (ранее — не позже 30-ти рабочих дней). Но этот срок могут продлить на 5 рабочих дней, когда оператор направляет в адрес субъекта мотивированное уведомление с указанием причины отсрочки.
Когда субъект передает оператору требование прекратить обработку его персональных сведений, последний обязан отреагировать на обращение не позже 10-ти дней, т.е. прекратить обрабатывать информацию.
Кроме того, по обращению Роскомнадзора оператор обязан предоставить необходимые сведения не позже 10-ти рабочих дней. Срок также может быть продлен на 5 рабочих дней при отправке мотивированного уведомления.
Усиление ответственности обработчика персональных сведений
Ответственность усилится в отношении иностранных обработчиков персональных сведений — лиц, обрабатывающих информацию на основании поручения.
Ранее разработчик был ответственен по поручению лишь перед оператором и не отвечал перед субъектами персональных сведений. С 01.09.2022 г. при поручении обработки персональных сведений иностранному лицу обработчик будет нести ответственность не только перед оператором, поручившим обработку, но и перед субъектом персональных сведений.
Изменение требований к поручениям
В обновленной редакции Закона № 152-ФЗ уточнили, что обработчик сведений должен соблюдать принципы, правила обработки, конфиденциальность информации, принимать необходимые меры, которые направлены на обеспечение выполнения обязанностей, предусмотренных законодательством.
В поручении оператору нужно установить список персональных сведений и действий (операций) с данными, которые будет совершать обработчик, а также его обязанность по соблюдению конфиденциальности. Также в поручении определяется обязанность по запросу оператора в течение периода действия поручения передавать документацию и сведения, которые подтверждают принятие мер и соблюдение обязанности обеспечивать безопасность персональных данных при их обработке.
В поручении отражается обязанность обработчика направлять оператору уведомление об утечках персональных сведений.
Новое в уведомлении Роскомнадзора об обработке персональных сведений
По ст. 22 Закона № 152-ФЗ, прежде чем оператор приступит к обработке персональных сведений, он обязан уведомить Роскомнадзор об этом намерении, для чего используется специальная анкета.
Раньше по закону предусматривалось несколько ситуаций, когда уведомление не требовалось. К примеру, если персональные сведения:
- включают лишь ФИО;
- требуются для однократного пропуска субъекта на территорию, где располагается оператор;
- обрабатываются согласно трудовому законодательству и др.
Теперь список случаев, когда не нужно уведомлять Роскомнадзор, существенно сократили, и он включает лишь две ситуации:
- персональные сведения передаются в государственные информационные системы, которые созданы для защиты безопасности страны и общественного порядка;
- оператор обрабатывает сведения исключительно без применения средств автоматизации.
Новые требования к согласию на обработку персональных сведений
Согласие субъекта персональных сведений должно удовлетворять новым признакам.
Раньше (ст. 9 Закона № 152-ФЗ) согласие должно было быть конкретным, информированным и сознательным. С сентября 2022 года характеристики будут расширены — согласие также должно быть предметным и однозначным.
Корректировка требований к политике обработки персональных сведений
В связи с нововведениями оператор обязан в политике обработки персональных сведений для каждой цели обработки зафиксировать:
- категории и список обрабатываемых персональных сведений;
- категории субъектов, сведения которых обрабатывает;
- способы, сроки их обработки и хранения;
- правила уничтожения персональных сведений при достижении целей их обработки.
Чтобы соответствовать указанному требованию, нужно произвести аудит и установить цели, которые преследуются компанией при обработке персональных сведений, и далее работать по каждой из этих целей.
Также внесены корректировки в правила публикации политики обработки персональных сведений. Ее нужно не просто разместить на сайте, но и опубликовать на страницах сайта, где производится сбор сведений.
Важно! Политика обработки персональных сведений не должна включать положения, ограничивающие права субъектов этих сведений.
Нововведения в обработке биометрической информации
С сентября 2022 года начнет действовать запрет оператора отказывать физлицам в оказании услуг, когда они не хотят предоставлять биометрические данные и это не является обязательным требованием.
В соответствии со ст. 11 Закона № 152-ФЗ биометрические данные — это информация, характеризующая физиологические и биологические особенности человека, на основании которых имеется возможность установить его личность, к примеру, отпечатки пальцев.