01 сентября 2022
16 минут
2 874
94

Изменение в законе о персональных данных с 1 сентября 2022 года

Филиппович Максим Владиславович
Автор статьи
Партнер, эксперт сервиса LegalBox
Закон 152-ФЗ о персональных данных с 1 сентября 2022 года претерпит существенные изменения. В частности, изменения в ФЗ-152 коснулись требований к политике конфиденциальности, обновились правила работы с биометрической информацией, а также указан новый порядок работы с Роскомнадзором и ФСБ. Узнаем, что изменилось в работе с персональными данными, и к чему стоит подготовиться бизнесу. В статье разбираем поправки в ФЗ-152 от 14 июля 2022 года, введённые 266-ФЗ, и все ссылки в скобках будут относиться к этому закону.
Поможем бизнесу выполнить новые требования 152-ФЗ от
1 сентября 2022 г.

Закон будет работать за рубежом

Если персональные данные россиян оказываются в руках иностранных компаний, то на них будет распространяться закон о персональных данных. Поправки в ФЗ-152 закрепили принцип экстерриториальности (ч. 1.1 ст. 1 закона 152-ФЗ).
Пример
Оксана, будучи гражданкой России, работает менеджером по продажам в одной из компаний Казахстана. Вся информация, которую она передала работодателю, ранее обрабатывалась по правилам казахского законодательства. Но персональные данные с 1 сентября 2022 года в зарубежной организации должны обрабатываться и храниться по правилам, установленным законами РФ. Российские законы будут действовать на работодателя Оксаны до тех пор, пока она остаётся гражданкой РФ.
Таким образом теперь действие 152-ФЗ распространяется также на иностранных юридических и иностранных физических лиц, которые обрабатывают персональные данные граждан РФ.

Новые правила работы с согласиями на обработку личных сведений

Изменения по персональным данным коснулись и согласий на обработку этой информации (ст. 6). Теперь:

1. Бездействие гражданина не будет считаться автоматическим согласием на обработку. Если он не соглашается на обработку длительное время или отвечает молчанием на просьбу работодателя, поликлиники, банка или любой другой организации, согласие не будет считаться полученным.

2. Свободы и права субъектов будет запрещено ограничивать. Например, нельзя будет прописывать в согласиях, что информация о гражданине будет разглашаться третьим лицам без его одобрения.

3. Изменения предусматривают, что персональные данные несовершеннолетних можно будет обрабатывать только в случаях, предусмотренных российским законодательством. Например, при поступлении подростка в частную школу или колледж.

Какими способами оператор может получить согласие на обработку персональных субъекта?
Также изменения в 152 ФЗ о персональных данных коснулись и ч. 1 ст. 9. Они закрепили 2 новых признака, которым должно отвечать согласие на обработку персональных данных в дополнение к уже существующим признакам конкретности, информированности и сознательности:

  • однозначность — предполагается, что этот принцип означает то, что субъект определённо соглашается на информацию о нём, и его согласие нельзя трактовать двояко;
  • предметность — означает, что согласие на обработку персональных данных получено с конкретной целью.
Рекомендуется провести аудит текущих бизнес-процессов в компании на предмет необходимости получения согласий субъектов на обработку их персональных данных. Также следует осуществить ревизию всех документов, в которых содержатся положения о даче согласия на обработку персональных данных. Помочь провести аудит, обновить локальные акты и формы согласия, и привести их в соответствие с новыми поправками и изменениями к закону 152-ФЗ помогут наши специалисты.
Партнер, эксперт сервиса LegalBox
Филиппович Максим Владиславович

Уведомление Роскомнадзора об обработке персональных данных

Ранее операторы могли в некоторых случаях не уведомлять Роскомнадзор о том, что они обрабатывают конфиденциальные сведения. Например, при найме сотрудников по трудовому договору, при оформлении одноразовых пропусков на предприятия или при получении только Ф.И.О. граждан.

Однако изменения в действующее законодательство (ст. 22 в новой редакции) обязывают любые компании подавать уведомление в Роскомнадзор, о том, что они обрабатывают личную информацию о гражданах. Форма уведомления заполняется на сайте ведомства.

Не уведомлять Роскомнадзор можно только в 2 случаях:
  • если оператор не применяет средства автоматизации для работы с персональными данными;
  • если персональные данные обрабатываются в государственных информационных системах (ГИС).

Во всех остальных случаях, согласно изменениям законодательства, уведомление об обработке персональных данных Роскомнадзора обязательно.
    Обратите внимание!
    Скорректирован перечень сведений, который должен содержаться в уведомлении об обработке персональных данных, которое оператор должен представить в Роскомнадзор.
    Помимо этого уже с 1 марта 2023 года операторы, занимающиеся обработкой сведений о гражданах, обязаны сообщать ведомству, что они:

    • прекратили обработку данных— сообщить об этом факте в Роскомнадзор нужно в течение 10 дней;
    • внесли изменения в процессы обработки данных — отчитаться об изменениях в персональных данных в Роскомнадзор нужно до 15 числа месяца, следующего за месяцем, в котором произошли изменения.
    Форма уведомления имеет большое количество разделов. Обычно трудности возникают при заполнении вопросов о правовых основаниях обработки, целях обработки, предпринятых бизнесом мер для обеспечения безопасности данных в информационных системах. Непредоставление уведомления может грозить штрафом по ст. 19.7 КоАП РФ до 5 тыс. руб. и дальнейшими проверками. Наши специалисты подготовят уведомление в Роскомнадзор за вас после аудита процессов в компании и изучения имеющихся документов.
    Партнер, эксперт сервиса LegalBox
    Филиппович Максим Владиславович

    Политика конфиденциальности и локальные акты

    Последние изменения в законодательстве о персональных данных (п. 2 ч. 1 ст. 18.1) к содержанию политики в отношении обработки персональных данных и локальным актам по вопросам обработки персональных данных. Теперь во внутренних документах, согласно изменениям, для каждой цели обработки персональных данных обязательно должно быть указано:

    • перечень персональных данных и к каким категориям субъектов она относится;
    • какими способами происходит обработка конфиденциальной информации, какие изменения могут вноситься и в каком порядке;
    • как происходит хранение персональных данных;
    • в течение какого срока предполагается обработка данных;
    • как будут уничтожаться данные после того, как будет достигнуты цели обработки.
    Обратите внимание!
    Любой сайт, с помощью которого собираются персональные данные граждан, должен в обязательном порядке содержать опубликованную политику обработки персональных данных.
    Если не изменить локальные акты и политику конфиденциальности по новым правилам, то бизнес могут привлечь к административной ответственности. Так, например, по ч. 3 ст. 13.11 КоАП РФ размер штрафа за неопубликованную политику конфиденциальности (или опубликованную с нарушениями) может достигать 60 тыс. руб.
    Политика конфиденциальности и иные локальные акты по персональным данным для каждого оператора должны быть индивидуальны, поскольку у всех различаются цели и способы обработки данных, перечень персональных данных и т.д. Помочь обновить документы, привести их в соответствие с новыми поправками к закону 152-ФЗ и текущими бизнес-процессами компании помогут наши специалисты.
    Партнер, эксперт сервиса LegalBox
    Филиппович Максим Владиславович

    Новые сроки для уведомления об утечке

    Обработка персональных данных с 01.09 2022 предусматривает повышенную готовность сотрудничать с Роскомнадзором, если произойдёт какой-либо инцидент (в частности, утечка информации). Для этого компаниям и предпринимателям нужно будет подготовить и подать в Роскомнадзор уведомления об инцидентах и порядках их расследования (ч. 3.1 ст. 21) по соответствующим формам.

    Сроки уведомления Роскомнадзора согласно изменениям законодательства:

    • 24 часа — у бизнеса есть сутки, чтобы сообщить об утечке сведений и указать, что предположительно стало этому причиной, а также дать предварительную оценку ущерба от инцидента;
    • 72 часа — отчитаться перед ведомством о внутреннем расследовании утечки, по возможности найти виновное лицо и принять меры по усилению безопасности сохранности сведений.

    Игнорирование сроков приведёт к административной ответственности по ст. 19.7 КоАП РФ. Размер штрафа может достигнуть 5 тыс. руб.
    "Любая утечка данных — это опасный инцидент, который грозит бизнесу серьёзными проблемами. Оператору важно разработать регламент, который будет включать в себя профилактические мероприятия против утечек, порядок уведомления Роскомнадзора и понятные этапы расследования инцидентов."
    "

    Настройка взаимодействия с ФСБ

    Изменения в федеральный закон 152-ФЗ дополнили ст. 19 пунктами 12, 13 и 14. В них прописан порядок взаимодействия с ФСБ, а именно с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (сокращённо — ГосСОПКА). В компетенции ведомства — расследование ситуаций, связанных с киберугрозами и хакерскими атаками.
    Важно!
    Ожидается, что настройка взаимодействия с ГосСОПКА будет регулироваться новым подзаконным актом ФСБ. До уточнения нового порядка следует руководствоваться приказом ФСБ № 367 от 24 июля 2018 года.

    Граждане смогут узнать о наличии или отсутствии персональных данных в компаниях за 10 дней

    Изменение в 152 ФЗ о персональных данных также претерпела ст. 20, по которой с 1 сентября 2022 года сокращен срок ответа компаний и предпринимателей, обрабатывающих сведения о субъектах, до 10 рабочих дней. В исключительных случаях ответ на запрос можно будет продлить на 5 рабочих дней. Ранее информацию по запросу граждан необходимо было предоставить в течение 30 календарных дней.

    Субъекты после законодательных изменений смогут запросить информацию и попросить операторов и обработчиков:

    • о прекращении обработки их личных сведений;
    • об ознакомлении со сведениями, находящимися в распоряжении компании или ИП.

    Нарушения сроков влекут административную ответственность по ч. 4 ст. 13.11 КоАП РФ. Штрафы могут достигать 80 тыс. руб.

    Что должен сделать бизнес после изменений?
    Пример
    В компании «Подорожник» есть 9 работников, допущенных к обработке персональных данных. Каждого работника нужно ознакомить с новыми правилами реагирования на запросы граждан, рассказать о законодательном сокращении сроков предоставления ответов и ответственности за их несоблюдение. Также нужно изменить политику конфиденциальности и иные локальные акты, регулирующие порядок ответа на запросы субъектов.

    Оценка вреда при неисполнении обязанностей оператором

    Внесение изменений в закон коснулось и п. 5 ч. 1 ст. 18.1 152-ФЗ. Однако поправки в данной части вступают в силу с 1 марта 2023 года. Ожидается, что Роскомнадзор выпустит регламент, который позволит операторам оценивать причинённый ими вред за неисполнение обязанностей по утвержденным методикам. Сейчас оценка вреда проводится операторами по правилам, которые они должны утвердить самостоятельно.
    Обратите внимание!
    Роскомнадзор планирует обновить требования к оценке вреда к 1 марта 2023 года. Пока никаких действий предпринимать не нужно, следует дождаться изменений, закреплённых в приказах ведомства. Ознакомиться с проектом приказа о требованиях Роскомнадзора к оценке вреда можно здесь.

    Отказ от предоставления биометрических данных

    Биометрические данные — это, например, слепок голоса, отпечатки пальцев, код ДНК, рисунок глазной радужки и иные данные, которые характеризуют физиологические и биологические особенности человека.

    Последние изменения позволяют гражданам без риска для себя получить отказ компании в обслуживании не предоставлять свои биометрические данные. Ч. 3 ст. 11 ФЗ 152 о персональных данных с изменениями предоставляет субъектам такое право.
    "Если компания или предприниматель оказывали услуги или выполняли работы только при условии предоставления им биометрических сведений, то с осени подобное требование будет противоправным, и его нужно исключить из текста договоров."
    "
    Если же оператор вопреки закону продолжит в обязательном порядке требовать биометрию, его могут привлечь к ответственности по ч. 1 или ч. 1.1 ст. 13.11 КоАП РФ. Сумма штрафа может достичь 300 тыс. руб.

    Договор-поручение от оператора к обработчику

    Изменения законодательства о персональных данных коснулись и порядка заключения договоров-поручений от оператора к обработчику. Отношения поручения обработки персональных данных возникают при делегировании оператором своих обязанностей третьим лицам. Например, если компания (оператор) передает на аутсорсинг ведение бухгалтерского или кадрового учета, при котором сторонней организации (обработчику) предоставляются персональные данные работника, или если оператор хочет провести аналитику целевой аудитории и передаёт данные о своих клиентах исследовательской организации.
    "Компаниям и индивидуальным предпринимателям, обрабатывающим персональные данные по поручению оператора запрещено использовать данные, полученные от оператора, в целях, не предусмотренных договором поручения."
    "
    Теперь в договоре поручении обработки персональных данных должна отражаться следующая информация (ст. 6):

    • перечень данных, передающихся обработчику и список операций с ними
    • цели обработки персональных данных;
    • гарантия обеспечения сохранности и конфиденциальности информации, соблюдения всех требований ч. 5 ст. 18, ст. 18.1 и ст. 19 закона 152-ФЗ;
    • меры по защите персональных данных и исполнения поручения, по первому запросу оператора, в том числе до начала обработки.
    Если вы хотите оформить отношения поручения, которые бы полностью соответствовали обновлённым требованиям законодательства, обратитесь к нашим специалистам. Мы поможем определить цели обработки, укажем все допустимые операции с персональными данными и определим уровень ответственности обработчика за нарушение поручения оператора.
    Партнер, эксперт сервиса LegalBox
    Филиппович Максим Владиславович

    Разрешение Роскомнадзора для передачи персональных данных за рубеж

    Трансграничная передача персональных данных россиян будет возможна только при разрешении Роскомнадзора. Для этого оператор обязан до начала трансграничной передачи направить отдельное уведомление в Роскомнадзор.

    Данное требование вступает в силу с 1 марта 2023 года и относится ко любым категориям субъектов, будь то работники оформленные по ТК РФ, клиенты или пользователи сайта оператора.
    Обратите внимание!
    Несмотря на то, что указанные поправки в ст. 12 152-ФЗ вступают в силу с 01.03.2023, Роскомнадзор уже начал направлять в адрес операторов письма с требованием направить уведомление о трансграничной передаче персональных данных.
    Немного проще обстоят дела с передачей данных за рубеж в страны, обеспечивающие адекватную защиту персональных данных. Однако направить соответствующее уведомление в Роскомнадзор все равно придется. Узнать, в какое государство безопасно отправлять персональные данные россиян, можно двумя способами:

    1) из перечня стран, принявших 108 Конвенцию Совета Европы;
    2) из перечня, закреплённого в приказе Роскомнадзора № 274 от 15 марта 2013 года. Рекомендуется отслеживать изменения, поскольку перечень регулярно обновляется.

    Частые вопросы

    Что делать, если мне нужно отправить персональные данные в страну, не включённую в перечень Роскомнадзора?
    В этом случае после информирования ведомства о том, что вы хотите направить сведения о гражданине в страну, не обеспечивающую адекватную защиту персональных данных, нужно будет прождать 10 дней. Роскомнадзор изучит уведомление и может попросить оператора предоставить информацию о том, как данное иностранное государство обеспечивает защиту ПДн. Если такие сведения не устроят Роскомнадзор, ведомство вправе запретить трансграничную передачу.
    Как проверить, включена ли компания в реестр операторов персональных данных?
    Проверить статус оператора персональных данных можно на портале Роскомнадзора. В появившейся форме на странице достаточно указать ИНН компании или индивидуального предпринимателя и нажать кнопку "Найти". Если оператор ранее подавал уведомление об обработке персональных данных, то вы увидите информацию о том, что компания включена в реестр.
    Какие могут быть цели обработки ПДн?
    К целям обработки личных данных можно причислить заключение и исполнение договора с субъектом, содействие работникам в трудоустройстве, обеспечение сохранности имущества, осуществление пропускного режима, обработка заявок на сайте, проведение рекламных рассылок, анализ целевой аудитории и т.д. Важно, чтобы обработка данных ограничивалась достижением заранее определенных, конкретных и законных целей.

    Заключение

    Изменения в законе о персональных данных потребуют масштабного пересмотра локальные акты компании по обработке персональных данных; скорректирован перечень информации, который должен содержаться в уведомлении об обработке ПДн; запрещено требовать в обязательном порядке от граждан согласие на обработку биометрических данных; уточнен порядок трансграничной передачи; введена обязанность незамедлительного информирования об инцидентах; сократились сроки предоставления гражданам сведений по их запросам.

    Все это требует от бизнеса большего внимания к правильной организации процессов обработки персональных данных и взаимодействию с Роскомнадзором.
    Подготовим документы по ПДн и поможем с новыми требованиями 152-ФЗ
    • /
    • /
    01 сентября 2022
    16 минут
    2 874
    94
    Изменение в законе о персональных данных с 1 сентября 2022 года
    Закон 152-ФЗ о персональных данных с 1 сентября 2022 года претерпит существенные изменения. В частности, изменения в ФЗ-152 коснулись требований к политике конфиденциальности, обновились правила работы с биометрической информацией, а также указан новый порядок работы с Роскомнадзором и ФСБ. Узнаем, что изменилось в работе с персональными данными, и к чему стоит подготовиться бизнесу. В статье разбираем поправки в ФЗ-152 от 14 июля 2022 года, введённые 266-ФЗ, и все ссылки в скобках будут относиться к этому закону.
    Содержание
    Закон будет работать за рубежом
    Если персональные данные россиян оказываются в руках иностранных компаний, то на них будет распространяться закон о персональных данных. Поправки в ФЗ-152 закрепили принцип экстерриториальности (ч. 1.1 ст. 1 закона 152-ФЗ).
    Пример

    Оксана, будучи гражданкой России, работает менеджером по продажам в одной из компаний Казахстана. Вся информация, которую она передала работодателю, ранее обрабатывалась по правилам казахского законодательства. Но персональные данные с 1 сентября 2022 года в зарубежной организации должны обрабатываться и храниться по правилам, установленным законами РФ. Российские законы будут действовать на работодателя Оксаны до тех пор, пока она остаётся гражданкой РФ.
    Таким образом теперь действие 152-ФЗ распространяется также на иностранных юридических и иностранных физических лиц, которые обрабатывают персональные данные граждан РФ.
    Новые правила работы с согласиями на обработку личных сведений
    Изменения по персональным данным коснулись и согласий на обработку этой информации (ст. 6). Теперь:

    1. Бездействие гражданина не будет считаться автоматическим согласием на обработку. Если он не соглашается на обработку длительное время или отвечает молчанием на просьбу работодателя, поликлиники, банка или любой другой организации, согласие не будет считаться полученным.

    2. Свободы и права субъектов будет запрещено ограничивать. Например, нельзя будет прописывать в согласиях, что информация о гражданине будет разглашаться третьим лицам без его одобрения.

    3. Изменения предусматривают, что персональные данные несовершеннолетних можно будет обрабатывать только в случаях, предусмотренных российским законодательством. Например, при поступлении подростка в частную школу или колледж.

    Какими способами оператор может получить согласие на обработку персональных субъекта?
    Также изменения в 152 ФЗ о персональных данных коснулись и ч. 1 ст. 9. Они закрепили 2 новых признака, которым должно отвечать согласие на обработку персональных данных в дополнение к уже существующим признакам конкретности, информированности и сознательности:

    • однозначность — предполагается, что этот принцип означает то, что субъект определённо соглашается на информацию о нём, и его согласие нельзя трактовать двояко;
    • предметность — означает, что согласие на обработку персональных данных получено с конкретной целью.
    Рекомендуется провести аудит текущих бизнес-процессов в компании на предмет необходимости получения согласий субъектов на обработку их персональных данных. Также следует осуществить ревизию всех документов, в которых содержатся положения о даче согласия на обработку персональных данных. Помочь провести аудит, обновить локальные акты и формы согласия, и привести их в соответствие с новыми поправками и изменениями к закону 152-ФЗ помогут наши специалисты.
    Уведомление Роскомнадзора об обработке персональных данных
    Ранее операторы могли в некоторых случаях не уведомлять Роскомнадзор о том, что они обрабатывают конфиденциальные сведения. Например, при найме сотрудников по трудовому договору, при оформлении одноразовых пропусков на предприятия или при получении только Ф.И.О. граждан.

    Однако изменения в действующее законодательство ( ст. 22 в новой редакции) обязывают любые компании подавать уведомление в Роскомнадзор, о том, что они обрабатывают личную информацию о гражданах. Форма уведомления заполняется на сайте ведомства.

    Не уведомлять Роскомнадзор можно только в 2 случаях:
    • если оператор не применяет средства автоматизации для работы с персональными данными;
    • если персональные данные обрабатываются в государственных информационных системах (ГИС).

    Во всех остальных случаях, согласно изменениям законодательства, уведомление об обработке персональных данных Роскомнадзора обязательно.
    Обратите внимание!

    Скорректирован перечень сведений, который должен содержаться в уведомлении об обработке персональных данных, которое оператор должен представить в Роскомнадзор.
    Помимо этого уже с 1 марта 2023 года операторы, занимающиеся обработкой сведений о гражданах, обязаны сообщать ведомству, что они:

    • прекратили обработку данных— сообщить об этом факте в Роскомнадзор нужно в течение 10 дней;
    • внесли изменения в процессы обработки данных — отчитаться об изменениях в персональных данных в Роскомнадзор нужно до 15 числа месяца, следующего за месяцем, в котором произошли изменения.
    Форма уведомления имеет большое количество разделов. Обычно трудности возникают при заполнении вопросов о правовых основаниях обработки, целях обработки, предпринятых бизнесом мер для обеспечения безопасности данных в информационных системах. Непредоставление уведомления может грозить штрафом по ст. 19.7 КоАП РФ до 5 тыс. руб. и дальнейшими проверками. Наши специалисты подготовят уведомление в Роскомнадзор за вас после аудита процессов в компании и изучения имеющихся документов.
    Политика конфиденциальности и локальные акты
    Последние изменения в законодательстве о персональных данных (п. 2 ч. 1 ст. 18.1) к содержанию политики в отношении обработки персональных данных и локальным актам по вопросам обработки персональных данных. Теперь во внутренних документах, согласно изменениям, для каждой цели обработки персональных данных обязательно должно быть указано:

    • перечень персональных данных и к каким категориям субъектов она относится;
    • какими способами происходит обработка конфиденциальной информации, какие изменения могут вноситься и в каком порядке;
    • как происходит хранение персональных данных;
    • в течение какого срока предполагается обработка данных;
    • как будут уничтожаться данные после того, как будет достигнуты цели обработки.
    Обратите внимание!

    Любой сайт, с помощью которого собираются персональные данные граждан, должен в обязательном порядке содержать опубликованную политику обработки персональных данных.
    Если не изменить локальные акты и политику конфиденциальности по новым правилам, то бизнес могут привлечь к административной ответственности. Так, например, по ч. 3 ст. 13.11 КоАП РФ размер штрафа за неопубликованную политику конфиденциальности (или опубликованную с нарушениями) может достигать 60 тыс. руб.
    Политика конфиденциальности и иные локальные акты по персональным данным для каждого оператора должны быть индивидуальны, поскольку у всех различаются цели и способы обработки данных, перечень персональных данных и т.д. Помочь обновить документы, привести их в соответствие с новыми поправками к закону 152-ФЗ и текущими бизнес-процессами компании помогут наши специалисты.
    Новые сроки для уведомления об утечке
    Обработка персональных данных с 01.09 2022 предусматривает повышенную готовность сотрудничать с Роскомнадзором, если произойдёт какой-либо инцидент (в частности, утечка информации). Для этого компаниям и предпринимателям нужно будет подготовить и подать в Роскомнадзор уведомления об инцидентах и порядках их расследования (ч. 3.1 ст. 21) по соответствующим формам.

    Сроки уведомления Роскомнадзора согласно изменениям законодательства:

    • 24 часа — у бизнеса есть сутки, чтобы сообщить об утечке сведений и указать, что предположительно стало этому причиной, а также дать предварительную оценку ущерба от инцидента;
    • 72 часа — отчитаться перед ведомством о внутреннем расследовании утечки, по возможности найти виновное лицо и принять меры по усилению безопасности сохранности сведений.

    Игнорирование сроков приведёт к административной ответственности по ст. 19.7 КоАП РФ. Размер штрафа может достигнуть 5 тыс. руб.
    "Любая утечка данных — это опасный инцидент, который грозит бизнесу серьёзными проблемами. Оператору важно разработать регламент, который будет включать в себя профилактические мероприятия против утечек, порядок уведомления Роскомнадзора и понятные этапы расследования инцидентов."
    Настройка взаимодействия с ФСБ
    Изменения в федеральный закон 152-ФЗ дополнили ст. 19 пунктами 12, 13 и 14. В них прописан порядок взаимодействия с ФСБ, а именно с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (сокращённо — ГосСОПКА). В компетенции ведомства — расследование ситуаций, связанных с киберугрозами и хакерскими атаками.
    Важно!

    Ожидается, что настройка взаимодействия с ГосСОПКА будет регулироваться новым подзаконным актом ФСБ. До уточнения нового порядка следует руководствоваться приказом ФСБ № 367 от 24 июля 2018 года.
    Граждане смогут узнать о наличии или отсутствии персональных данных в компаниях за 10 дней
    Изменение в 152 ФЗ о персональных данных также претерпела ст. 20, по которой с 1 сентября 2022 года сокращен срок ответа компаний и предпринимателей, обрабатывающих сведения о субъектах, до 10 рабочих дней. В исключительных случаях ответ на запрос можно будет продлить на 5 рабочих дней. Ранее информацию по запросу граждан необходимо было предоставить в течение 30 календарных дней.

    Субъекты после законодательных изменений смогут запросить информацию и попросить операторов и обработчиков:

    • о прекращении обработки их личных сведений;
    • об ознакомлении со сведениями, находящимися в распоряжении компании или ИП.

    Нарушения сроков влекут административную ответственность по ч. 4 ст. 13.11 КоАП РФ. Штрафы могут достигать 80 тыс. руб.

    Что должен сделать бизнес после изменений?
    Пример

    В компании «Подорожник» есть 9 работников, допущенных к обработке персональных данных. Каждого работника нужно ознакомить с новыми правилами реагирования на запросы граждан, рассказать о законодательном сокращении сроков предоставления ответов и ответственности за их несоблюдение. Также нужно изменить политику конфиденциальности и иные локальные акты, регулирующие порядок ответа на запросы субъектов.
    Оценка вреда при неисполнении обязанностей оператором
    Внесение изменений в закон коснулось и п. 5 ч. 1 ст. 18.1 152-ФЗ. Однако поправки в данной части вступают в силу с 1 марта 2023 года. Ожидается, что Роскомнадзор выпустит регламент, который позволит операторам оценивать причинённый ими вред за неисполнение обязанностей по утвержденным методикам. Сейчас оценка вреда проводится операторами по правилам, которые они должны утвердить самостоятельно.
    Обратите внимание!

    Роскомнадзор планирует обновить требования к оценке вреда к 1 марта 2023 года. Пока никаких действий предпринимать не нужно, следует дождаться изменений, закреплённых в приказах ведомства. Ознакомиться с проектом приказа о требованиях Роскомнадзора к оценке вреда можно здесь.
    Отказ от предоставления биометрических данных
    Биометрические данные — это, например, слепок голоса, отпечатки пальцев, код ДНК, рисунок глазной радужки и иные данные, которые характеризуют физиологические и биологические особенности человека.

    Последние изменения позволяют гражданам без риска для себя получить отказ компании в обслуживании не предоставлять свои биометрические данные. Ч. 3 ст. 11 ФЗ 152 о персональных данных с изменениями предоставляет субъектам такое право.
    "Если компания или предприниматель оказывали услуги или выполняли работы только при условии предоставления им биометрических сведений, то с осени подобное требование будет противоправным, и его нужно исключить из текста договоров."
    Если же оператор вопреки закону продолжит в обязательном порядке требовать биометрию, его могут привлечь к ответственности по ч. 1 или ч. 1.1 ст. 13.11 КоАП РФ. Сумма штрафа может достичь 300 тыс. руб.
    Договор-поручение от оператора к обработчику
    Изменения законодательства о персональных данных коснулись и порядка заключения договоров-поручений от оператора к обработчику. Отношения поручения обработки персональных данных возникают при делегировании оператором своих обязанностей третьим лицам. Например, если компания (оператор) передает на аутсорсинг ведение бухгалтерского или кадрового учета, при котором сторонней организации (обработчику) предоставляются персональные данные работника, или если оператор хочет провести аналитику целевой аудитории и передаёт данные о своих клиентах исследовательской организации.
    "Компаниям и индивидуальным предпринимателям, обрабатывающим персональные данные по поручению оператора запрещено использовать данные, полученные от оператора, в целях, не предусмотренных договором поручения."
    Теперь в договоре поручении обработки персональных данных должна отражаться следующая информация ( ст. 6):

    • перечень данных, передающихся обработчику и список операций с ними
    • цели обработки персональных данных;
    • гарантия обеспечения сохранности и конфиденциальности информации, соблюдения всех требований ч. 5 ст. 18, ст. 18.1 и ст. 19 закона 152-ФЗ;
    • меры по защите персональных данных и исполнения поручения, по первому запросу оператора, в том числе до начала обработки.
    Если вы хотите оформить отношения поручения, которые бы полностью соответствовали обновлённым требованиям законодательства, обратитесь к нашим специалистам. Мы поможем определить цели обработки, укажем все допустимые операции с персональными данными и определим уровень ответственности обработчика за нарушение поручения оператора.
    Разрешение Роскомнадзора для передачи персональных данных за рубеж
    Трансграничная передача персональных данных россиян будет возможна только при разрешении Роскомнадзора. Для этого оператор обязан до начала трансграничной передачи направить отдельное уведомление в Роскомнадзор.

    Данное требование вступает в силу с 1 марта 2023 года и относится ко любым категориям субъектов, будь то работники оформленные по ТК РФ, клиенты или пользователи сайта оператора.
    Обратите внимание!

    Несмотря на то, что указанные поправки в ст. 12 152-ФЗ вступают в силу с 01.03.2022, Роскомнадзор уже начал направлять в адрес операторов письма с требованием направить уведомление о трансграничной передаче персональных данных.
    Немного проще обстоят дела с передачей данных за рубеж в страны, обеспечивающие адекватную защиту персональных данных. Однако направить соответствующее уведомление в Роскомнадзор все равно придется. Узнать, в какое государство безопасно отправлять персональные данные россиян, можно двумя способами:

    1) из перечня стран, принявших 108 Конвенцию Совета Европы;
    2) из перечня, закреплённого в приказе Роскомнадзора № 274 от 15 марта 2013 года. Рекомендуется отслеживать изменения, поскольку перечень регулярно обновляется.
    Частые вопросы
    Что делать, если мне нужно отправить персональные данные в страну, не включённую в перечень Роскомнадзора?
    В этом случае после информирования ведомства о том, что вы хотите направить сведения о гражданине в страну, не обеспечивающую адекватную защиту персональных данных, нужно будет прождать 10 дней. Роскомнадзор изучит уведомление и может попросить оператора предоставить информацию о том, как данное иностранное государство обеспечивает защиту ПДн. Если такие сведения не устроят Роскомнадзор, ведомство вправе запретить трансграничную передачу.
    Как проверить, включена ли компания в реестр операторов персональных данных?
    Проверить статус оператора персональных данных можно на портале Роскомнадзора. В появившейся форме на странице достаточно указать ИНН компании или индивидуального предпринимателя и нажать кнопку "Найти". Если оператор ранее подавал уведомление об обработке персональных данных, то вы увидите информацию о том, что компания включена в реестр.
    Какие могут быть цели обработки ПДн?
    К целям обработки личных данных можно причислить заключение и исполнение договора с субъектом, содействие работникам в трудоустройстве, обеспечение сохранности имущества, осуществление пропускного режима, обработка заявок на сайте, проведение рекламных рассылок, анализ целевой аудитории и т.д. Важно, чтобы обработка данных ограничивалась достижением заранее определенных, конкретных и законных целей.
    Заключение
    Изменения в законе о персональных данных потребуют масштабного пересмотра локальные акты компании по обработке персональных данных; скорректирован перечень информации, который должен содержаться в уведомлении об обработке ПДн; запрещено требовать в обязательном порядке от граждан согласие на обработку биометрических данных; уточнен порядок трансграничной передачи; введена обязанность незамедлительного информирования об инцидентах; сократились сроки предоставления гражданам сведений по их запросам.

    Все это требует от бизнеса большего внимания к правильной организации процессов обработки персональных данных и взаимодействию с Роскомнадзором.
    Автор статьи
    Филиппович Максим Владиславович
    Партнер, эксперт сервиса LegalBox