Важные изменения в законе о персональных данных, о которых должен знать каждый

В прошлом году сообщения об утечке персональных данных появлялись с завидной частотой, поэтому законодательство не могло не отреагировать на изменившиеся реалии. В этой статье познакомим вас с главными изменениями в законе «О персональных данных» ФЗ № 152, которые нужно знать всем, кто работает с персональными данными (здесь и далее — ПДн). Большинство этих изменений уже вступили в силу 1 сентября 2022 г. (они были введены ФЗ № 266 от 14 июля 2022 г.), а часть планируется утвердить в марте этого года.

№ 1. Поручение на обработку ПДн

Многие организации передают ПДн в сторонние компании: в ЧОП для оформления пропусков, в банк для выпуска зарплатных карт, облачному провайдеру для обработки данных в различных информационных системах и т. д. Но надо помнить, что часть 3 статьи 6 ФЗ № 152 предписывает, какая информация должна быть определена в поручении для российских обработчиков ПДн: это перечень ПДн и действий с ними, цель обработки ПДн и ряд других. Если какой-либо обработчик имеет зарубежную юрисдикцию, то он совместно с оператором ПДн несёт ответственность перед субъектом в соответствии с частью 6 ст. 6 ФЗ № 152. Поручение на обработку ПДн может быть в виде приложения к договору, либо составляется отдельный договор поручения обработки ПДн

№ 2. Сбор биометрических данных

Тут главное помнить о том, что такое биометрия, а что ей не является. Например, простое видеонаблюдение это не биометрия, если не производится идентификация человека по его видеоизображению. А вот видеонаблюдение в связке с видеоаналитикой может являться биометрическими данными: например, при организации пропускного режима с использованием видеоаналитики. Так сделано в московском метрополитене.

Субъект отныне имеет право отказать оператору в предоставлении биометрии или согласия на обработку биометрических ПДн, и оператор не имеет права отказать ему в обслуживании (ч. 3 ст. 11). Поэтому биометрические данные более не являются обязательными, кроме ряда случаев, которые регламентированы ч. 2 ст. 11. 

№ 3. Договор с субъектом ПДн

Речь именно о договоре с физическим лицом, а не с юридическим, в реквизитах которого тоже фигурирует, например, ФИО и должность генерального директора. Согласно изменениям, внесённым в ФЗ № 152 и конкретно в ст. 6 данного ФЗ, в договоре с субъектом ПДн не должно содержаться положений, которые ограничивают его права и свободы. Также новая редакция этого ФЗ запрещает обработку ПДн несовершеннолетних лиц.

№ 4. Форма согласия на обработку ПДн

В большинстве случаев персональные данные могут обрабатываться лишь с согласия субъекта ПДн. Ст. 9 ФЗ № 152 определяет, что согласие на обработку ПДн должно носить конкретный, предметный и сознательный характер и должно быть однозначным. Кроме того, субъект должен быть проинформирован об этом. В случае обязательного согласия в обязанности оператора входит разъяснение субъекту юридических последствий отказа.

Здесь стоит отметить, что сейчас нередки случаи, когда люди отзывают своё согласие на обработку ПДн, а также согласие на обработку данных детей. Полностью это сделать невозможно, у ребёнка с детства есть регистрация факта его рождения в ЗАГС, есть СНИЛС и т. д. А отказы приводят к тому, что дети в школьных журналах числятся, например, под таким именем: “Отказ в предоставлении ПДн №1”. Поэтому, например, учителя заранее не знают, когда у ребёнка день рождения, и не могут подготовить подарок с остальными учениками. На мой субъективный взгляд, такие отказы только усложняют процессы без какой-либо пользы даже для одной из сторон.

№ 5. Формы уведомлений субъектов ПДн

Если раньше у каждой компании были свои формы уведомлений, теперь всё чётко регламентировано. Согласно новой редакции ФЗ № 152, в соответствии со ст. 18 ч. 3, если оператор получил ПДн не от субъекта, а от иного лица, оператор обязан до начала обработки ПДн подробно проинформировать субъекта о процессе, в том числе рассказать о цели процедуры. Также в обязанности оператора входит ознакомление субъекта с перечнем планируемых к обработке ПДн.

№ 6. Ответы на запросы субъектов ПД

Сроки реагирования на запросы субъектов теперь регламентированы. Отвечать на запросы субъектов необходимо не позднее 10 рабочих дней. При этом допустимо продление срока ответа на 1 рабочую неделю, но только в случае, если оператор уведомит об этом субъекта и укажет причины, по которым процедура откладывается. Также в течение 10 дней оператор обязан исполнить требование субъекта об уничтожении ПДн. Про последствия запросов об удалении ПДн субъекта см. п.4.

№ 7. Ответственные лица

Согласно обновленному закону оператор обязан назначить ответственное лицо, которое будет отвечать за обработку ПДн. Но это не единственный нормативный документ, в соответствии с которым нужно либо назначать ответственное лицо, либо даже создавать подразделение по защите информации. Об остальных документах для обоснования назначения ответственного, либо для создания подразделения по защите информации, читайте в одной из следующих статей.

№ 8. Документы

В документах не должно быть положений, ограничивающих права субъектов ПДн

или возлагающих на операторов ПДн полномочия и обязанности вне рамок законодательства РФ. Оператор обязан иметь и предоставлять для ознакомления следующие документы:

• политика обработки ПДн;

• локальные акты с указанием целей обработки ПДн и перечнем обрабатываемых ПДн;

• порядок уничтожения ПДн;

• локальные акты, регламентирующие процедуры предотвращения, выявления и устранения последствий нарушений ФЗ № 152.

Перечень нормативно-правовых актов с указанием объектов регулирования приведён в ст. 4 ФЗ № 152.

№ 9. Регламент внутреннего аудита

Периодические внутренние аудиты — одна из самых важных организационных мер, которая позволит поддерживать систему защиты персональных данных в актуальном состоянии. Важно, чтобы этот регламент соответствовал законодательным нормам обработки ПДн.

№ 10. Временный регламент оценки вреда субъектам ПДн

На данный момент этот документ не является обязательным, однако планируется, что конкретные требования к временному регламенту появятся в марте 2023 года.

№ 11. Регламент ознакомления сотрудников с требованиями ФЗ № 152

Организационные меры работают только тогда, когда чётко определена ответственность за нарушения и сотрудник знакомится с такими документами под подпись. Поэтому этот документ также должен включать и положение об ознакомлении с локальной нормативной документацией. Хотя и этого мало, в идеале нужно проводить регулярные учения по реагированию в разных ситуациях в соответствии с нормативными документами.

№ 12. Регламент обучения сотрудников

Такой документ также должен быть у оператора ПДн. И его безусловно нужно дополнять практическим обучением.

№ 13. Политика обработки ПДн

Её оператор должен разместить на официальном сайте, что регламентируется статьёй 18.1 ФЗ № 152. Тут нужно не забыть про то, что кукисы нередко также являются персональными данными, поэтому нужно обязательно упомянуть о них в политике конфиденциальности.

№ 14. Уведомление об обработке ПДн

Теперь не подавать такое уведомление можно только:

• при обработке ПДн исключительно ручным методом;

• если обработка ПДн касается случаев, связанных с транспортной безопасностью (должна быть обязательная отсылка на законодательство РФ);

• при обработке ПДн государственными информационными системами, если это связано с вопросами государственной безопасности.

Также следует учесть, что претерпели изменения и требования к содержанию уведомления об обработке ПДн. В соответствии со статьёй 22 ФЗ № 152 оператор обязан указывать требуемую информацию отдельно для каждой цели обработки ПДн. Кроме того, необходимо указывать ФИО субъекта, если он является физическим лицом, и зарегистрированное наименование юр. лиц, осуществляющих обработку ПДн или получающих к ним доступ в результате этой процедуры. Добавим, что формы уведомлений для каждого случая устанавливаются Роскомнадзором.

При изменении указанных в уведомлении сведений законодательство предписывает операторам ПДн уведомлять об этом Роскомнадзор. Порядок и сроки таких уведомлений устанавливает ст. 22 ФЗ № 152.

№ 15. Регламент реагирования на инциденты

Оператор ПДн в течение суток обязан уведомить Роскомнадзор при неправомерной или непреднамеренной передаче ПДн, если она повлекла за собой нарушение прав субъектов. Кроме того, дополнительно такая информация должна быть передана в ГосСОПКА, а на устранение нарушение согласно ст. 21 ч. 3 даётся не более 72 часов. Также обращаем ваше внимание, что с марта 2023 года будут установлены дополнительные требования по регламенту реагирования на инциденты. Порядок условий взаимодействия регуляторов с операторами ПДн будет установлен в следующей редакции Закона о персональных данных.

№ 16. Трансграничная передача ПДн

Перед выполнением трансграничной передачи ПДн операторы теперь обязаны уведомлять об этом Роскомнадзор в письменной или электронной форме. Также иностранные лица должны будут предоставить информацию о том, какие меры будут приняты по защите ПДн и о мерах правового регулирования ПДн в том государстве, куда планируется осуществить трансграничную передачу ПДн. После предоставления всех необходимых данных оператор должен дождаться ответа регулятора. Требования вступят в силу с 1 марта 2023 года, но готовиться нужно уже сейчас.

№ 17. Оценка вреда

При нарушении ФЗ № 152 контролирующими организациями будет оцениваться вред субъекту ПДн, однако формат нормативно-правового акта в данный момент находится в процессе подготовки.

№ 18. Уничтожение скомпрометированных ПДн

Документ с такими требованиями также пока только готовится законодателями, но ожидается его утверждение в ближайшие месяцы.

В завершение посоветуем всем, кто связан с обработкой персональных данных клиентов, следить за изменениями в законодательстве и оперативно реагировать на них.

Автор: Роман Андреев