Персональные данные с 1 сентября 2022: какие требования теперь предъявляет закон
Самое значимое правовое событие этой осени: с 1 сентября 2022 года персональные данные обрабатывают по новым правилам.
Закон 266-ФЗ (Федеральный закон от 14.07.2022 № 266-ФЗ) внес изменения в федеральный закон о персональных данных (Федеральный закон от 27.07.2006 № 152-ФЗ). Благодаря поправкам, не только обработка персональных данных с 1 сентября 2022 года происходит по новым требованиям. Также обозначены и правила, которые нужно соблюдать с 1 марта 2023 года. Они приняты в то же время, что и правки к закону о персональных данных с 1 сентября, при этом обязательны к исполнению только с 1 марта.
Таким образом, изменения в закон о персональных данных касаются всего порядка работы с ними: от особенностей согласия и уведомления Роскомнадзора до правил трансграничной передачи, прекращения обработки и исполнения новых сроков. За нарушение этих требований грозят не только крупные административные штрафы, но и уголовная ответственность (ст. 13.11, 13.12 и 19.7 КоАП РФ, ст. 137 и 272 УК РФ).
Персональные данные: изменения 2022
Условно все изменения персональных данных с 1 сентября 2022 (кратко – ПД, персданные) можно отнести к нескольким группам. Рассмотрим основные из них. Начнем с требований, обязательных к исполнению с 1 сентября 2022 года (по 266-ФЗ)
Обязанности оператора (работодателя)
С 1 сентября 2022 года персональные данные обрабатывают с учетом обязательных требований статьи 18.1 Закона 152-ФЗ, которые ранее были рекомендательными. В частности, из ее текста удалено слово «могут». Поэтому теперь работодатель не просто вправе, а обязан:
-
назначить ответственное лицо (структурное подразделение) за обработку ПД;
-
издать и опубликовать политику по персданным;
-
осуществлять внутренний контроль (аудит) ПД (способ контроля и подтверждение его проведения нужно прописать в отдельном ЛНА. Его предмет: соблюдение требований законодательства, политики, ЛНА организации по защите ПД)
-
оценивать вред, который может быть нанесен их субъекту (способ оценки компания выбирает самостоятельно, с 1 марта 2023 года методику определит Роскомнадзор);
-
выполнять другие требования статьи 18.1 Закона № 152-ФЗ.
Изменения в закон о персональных данных дополнили и сам перечень обязанностей оператора (работодателя). Например, установлено правило взаимодействия с государственной системой предотвращения атак на информационные ресурсы (ч. 12-14 ст. 19 Закона № 152-ФЗ). Также предусмотрена новая обязанность оператора (работодателя) при выявлении неправомерной или случайной передаче ПД: в течение 24 часов сообщить в Роскомнадзор и в течение 72 часов отчитаться о результатах внутреннего расследования (ч. 3.1 ст. 21, ч. 10, 11 ст. 23 Закона № 152-ФЗ).
Уведомление в Роскомнадзор
В новой редакции Закона 152-ФЗ утратили силу положения о возможности работать с персданными без уведомления Роскомнадзора (п. 1 – 6 ч. 2 ст. 22). Теперь даже при их обработке во исполнение закона нужно в Роскомнадзор подать уведомление, чтобы попасть в реестр операторов ПД (Письмо Роскомнадзора от 19.08.2022 № 08-75348). Такое уведомление однократное. Его не нужно предоставлять по каждому работнику.
Новые требования к содержанию уведомления в Роскомнадзор о персональных данных согласно Федеральному закону 266-ФЗ В уведомлении больше не указывают общие сведения о:
Перечисленные пункты описывают по отношению к каждой цели обработки. Также в уведомление в Роскомнадзор – 2022 добавили новый пункт: фамилия, имя, отчество физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку ПД, которые содержатся в государственных и муниципальных информационных системах (ч. 3 ст. 22 Закона №152-ФЗ). |
Уведомление направляют в управление ведомства в субъекте России по месту регистрации работодателя в налоговом органе (Письмо Роскомнадзора от 19.08.2022 № 08-75348, далее – Письмо № 08-75348). Сделать это можно через портал Роскомнадзора: в виде электронного уведомления, подписанного УКЭП, с помощью средств аутентификации ЕСИА, а также – на бумажном носителе. Также допустимо составить уведомление по старой форме (по Приказу Роскомнадзора от 30.05.2017 № 94). При появлении новой формы отправьте информационное письмо о внесении изменений в реестр (Письмо № 08-75348).
Ждать решения Роскомнадзора не нужно. Порядок уведомительный – обрабатывать ПД можно после получения сведений ведомством.
В Роскомнадзор подать уведомление об обработке персданных не потребуется, если (п. 8 ч. 2 ст. 22 Закона 152 ФЗ):
-
оператор обрабатывает данные без автоматизации (например, компания с численностью до 25 человек);
-
ПД содержатся в информационных системах по защите безопасности государства и общественного порядка;
-
ПД используют по закону о транспортной безопасности.
Сокращенные сроки Закон 266-ФЗ сократил сроки, в течение которых оператор должен предоставить субъекту ПД информацию об их обработке: 10 рабочих дней вместо 30. Все сведения предоставляют, ориентируясь на форму запроса (ч. 3 и 7 ст. 14, ст. 20 Закона 152-ФЗ). В итоге, сокращены сроки на (ст. 20 Закона № 152-ФЗ):
|
Содержание согласия на обработку ПД
Федеральный закон 266-ФЗ ввел дополнительные требования к содержанию согласия на обработку ПД., теперь оно должно быть «предметным» и «однозначным». Новые требования относятся к таким условиям согласия (ч. 1 ст. 9 Закона 152-ФЗ):
-
цель обработки персональных данных;
-
перечень ПД, на обработку которых дается согласие их субъекта;
-
наименование или фамилия, имя, отчество и адрес лица, которое осуществляет обработку ПД по поручению оператора (если она поручена такому лицу);
-
перечень действий с ПД, на совершение которых дается согласие, а также – общее описание способов обработки ПД, которые использует оператор;
-
срок, в течение которого действует согласие субъекта ПД и способу его отзыва.
Если субъект ПД отказывается предоставить обязательные персданные, нужно разъяснить последствия отказа от предоставления ПД и (или) согласия на их обработку (ч. 2 ст. 18 Закона № 152-ФЗ).
Важно! Когда субъект ПД – выгодоприобретатель или поручитель, допускается обработка ПД без согласия. Обработка персданных несовершеннолетних без согласия возможна в случаях, установленных законом (ч. 3.1 ст. 4, ст. 6 Закона № 152-ФЗ). |
Изменения – персональные данные 1 сентября обрабатывают по новым требованиям. Уточните алгоритм работы с персональными данными и их виды.
Требования к политике в отношении обработки ПД
Новый закон о персональных данных 2022 разъяснил требования к политике в отношении обработки ПД. Теперь в этом документе для каждой цели обработки должны быть отдельно указаны (ст. ст. 18.1, 21 Закона 152-ФЗ):
-
категории и перечень ПД;
-
категории субъектов ПД;
-
способы и сроки их обработки и хранения;
-
порядок уничтожения ПД.
Также внесено уточнение, что размещение политики в отношении обработки ПД возможно в том числе на страницах сайта, принадлежащего оператору в информационно-телекоммуникационной сети «Интернет».
Правила поручения обработки другому лицу Оператор может поручать обработку ПД другому лицу. Для этого нужно:
При этом на поручителя перекладывают все обязанности по защите ПД как на оператора (ч. 3–5 ст. 6 Закона 152-ФЗ). |
Правила прекращения обработки ПД
Установлены новые правила при обращении субъекта ПД с требованием о прекращении их обработки.
Если такое обращение поступило, оператор по общему правилу обязан в срок 10 рабочих дней прекратить их обработку (обеспечить ее прекращение). Указанный срок может быть продлен, но не более чем на пять рабочих дней: при направлении оператором в адрес субъекта ПД мотивированного уведомления с указанием причин продления срока (ч. 5.1 ст. 21 Закона № 152-ФЗ, пп. «б», п. 13 ст. 1 закона 266-ФЗ).
Совет Разработайте отдельные акты (ЛНА): по вопросам обработки ПД (под каждую цель), по процедурам выявления и предотвращения нарушений и политику в отношении обработки ПД. Проверьте, соответствуют ли ваши ЛНА требованиям Закона 266-ФЗ. |
Требования закона о персональных данных: изменения с 1 марта 2023 года
С 1 марта 2023 года вступят в силу изменения по работе с ПД, которые коснутся вопросов уведомления Роскомнадзора, работы с инцидентами в области ПД, порядка уничтожения ПД и их трансграничной передачи.
Форма уведомления Роскомнадзора и сроки подачи
Закон 266-ФЗ предусматривает новые сроки:
-
исключения данных из реестра операторов, если оператор отправит уведомлении о прекращении обработки ПД: само исключение – в течение 30 дней, подача заявления о прекращении – в течение 10 рабочих дней (пп. «б» п. 14 ст. 1 Закона 266-ФЗ);
-
уведомления оператором в случае изменения сведений (не позднее 15 числа, следующего за месяцем, в котором возникли изменения (пп. «д» п. 14 ст. 1 Закона 266-ФЗ).
Всего будут применяться три формы уведомлений Роскомнадзора:
-
уведомление до начала обработки ПД;
-
уведомление о прекращении обработки ПД (до 15 числа следующего месяца);
-
уведомление об изменении данных по обработке (до 15 числа следующего месяца)
До 1 марта 2023 года будут установлены требования к подтверждению уничтожения ПД (Проект Приказа Роскомнадзора (подготовлен 19.08.2022), пп. «г» п. 13 ст. 1 Закона 266-ФЗ).
Порядок работы с инцидентами в области ПД
Изменения с сентября 2022 – персональные данные нужно усиленно защищать и сообщать об их утечке. Информация о компьютерных инцидентах по случайной передаче ПД (а также – их предоставлении, распространении, доступе) будут передавать в специальный федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности по защите прав субъектов ПД (пп. «г» п. 15 ст. 1 закона 266-ФЗ).
Такой орган будет вести реестр учета инцидентов в области персданных и определять порядок и условия взаимодействия с операторами (работодателем) в рамках его ведения.
Ограничения при трансграничной передаче
Определен перечень иностранных государств, которые обеспечивают адекватную защиту прав субъектов ПД. К ним относят государства – стороны Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПД. Помимо них, будут допускаться государства – не участники при условии соответствия их норм права и применяемых мер по обеспечению конфиденциальности и безопасности при обработке ПД указанной Конвенции (п. 7 ст. 1 закона 266-ФЗ).
При намерении передать ПД трансгранично будет нужно информировать Роскомнадзор в виде отдельного уведомления, которое первоначально должно быть подано до 1 марта 2023 года (п. 7 ст. 1 Закона 266-ФЗ).
Содержание уведомления в Роскомнадзор о намерении передать ПД трансгранично (п. 7 ст. 1 Закона 266-ФЗ, будущие ч. 4 ст. 12 Закона № 152-ФЗ): 1) наименование (фамилия, имя, отчество), адрес оператора, а также дата и номер уведомления о намерении осуществлять обработку персональных данных, ранее направленного оператором в соответствии со статьей 22 настоящего Федерального закона; 2) наименование (фамилия, имя, отчество) лица, ответственного за организацию обработки персональных данных, номера контактных телефонов, почтовые адреса и адреса электронной почты; 3) правовое основание и цель трансграничной передачи персональных данных и дальнейшей обработки переданных персональных данных; 4) категории и перечень передаваемых персональных данных; 5) категории субъектов персональных данных, персональные данные которых передаются; 6) перечень иностранных государств, на территории которых планируется трансграничная передача персональных данных; 7) дата проведения оператором оценки соблюдения органами власти иностранных государств, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача персональных данных, конфиденциальности персональных данных и обеспечения безопасности персональных данных при их обработке. |
Право оператора на трансграничную передачу зависят от того, входит ли страна для передачи ПД в перечень Роскомнадзора. Если да, передача возможна сразу после отправки уведомления. Если нет – только по истечении 10 рабочих дней после отправки уведомления и неполучения запрета или ограничения на передачу (п. 7 ст. 1 Закона 266-ФЗ, будущие ч. 10 – 15 ст. 12 Закона № 152-ФЗ).
Сведения от иностранной организации и органов власти до трансграничной передачи ПД:
Примечание. Пункт применяется, если предполагается трансграничная передача ПД органам власти иностранного государства, иностранным физическим и юридическим лицам, которые находятся под юрисдикцией иностранного государства – не участника Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПД и не включены в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов ПД.
При этом на поручителя перекладывают все обязанности по защите ПД как на оператора (ч. 3–5 ст. 6 Закона № 152-ФЗ). |