Все проекты English Написать директору Вебинары
Выбор региона
Ваш город:Астана
Поиск

Изменение закона о персональных данных с 1 сентября 2022 года

Время чтения: ~5 мин.

Актуальность проверена: 06 . 10 . 2024

С осени 2022 года заработают серьезные изменения в работе с персональными данными. Корректировки будут связаны с усовершенствованием правовой защищенности субъектов персональных сведений, а также усилением государственного контроля в этой сфере.

На основании Закона от 14.07.2022 г. № 266-ФЗ приняты корректировки в Закон от 27.07.2006 г. № 152-ФЗ. Некоторые положения будут действовать с 01.09.2022 г., другие же — с 01.03.2023 г. (которые касаются вопросов трансграничной передачи сведений и порядка предоставления информации их ЕГРН).

Ранее Законом от 30.12.2020 г. № 519-ФЗ определялись три важнейших принципа для согласия на обработку персональных данных:

  • Молчание или бездействие — это не согласие на обработку.
  • Согласие на обработку персональной информации, которая разрешена для распространения, оформляется отдельным документом.
  • В согласии на обработку персональной информации, которая разрешена для распространения, можно указать запреты на передачу сведений неограниченному кругу лиц.

На основании корректировок, планируемых в сентябре, требуется произвести аудит документов и внести необходимые изменения. Кроме того, желательно отслеживать новости и разъяснения Роскомнадзора.

Ввод принципа экстерриториальности

Раньше в Законе от 27.07.2006 г. № 152-ФЗ не было положений, которые регламентировали его действия по территории и кругу лиц. На основании принятых корректировок этот момент исправлен.

Обновленная редакция закона будет применяться к иностранным юрлицам и физлицам, если обработка персональных сведений производится на основании договора с гражданином России или с его согласия.

Обязанность уведомлять об утечке персональной информации

Периодически происходит утечка персональных сведений, к примеру, еще в 2020 году специалисты обращали внимание на то, что пандемия оказывала влияние на разные сферы жизни, в том числе действовала и на формирование картины утечек.

В 2021 году наблюдалось серьезное развитие дистанционных каналов обслуживания, искусственного интеллекта и IT-платформ. В прошлом году дистанционная работа стала обычным явлением. Эксперты отметили, что на этом фоне быстрее изменялся ландшафт угроз информационной безопасности, что отразилось и на структуре утечек сведений ограниченного доступа. Один из основных факторов уменьшения числа утечек в публичном пространстве — повышение уровня сокрытий инцидентов в компаниях.

В соответствии с новой редакцией закона операторы персональных данных обязаны обеспечивать взаимодействие с госсистемой выявления, предупреждения и устранения последствий компьютерных атак на информационные ресурсы (ГосСОПКА). Задача нововведения — заставить операторов сообщать об инцидентах, повлекших неправомерную передачу персональных сведений. Иными словами, обновленная редакция Закона № 152-ФЗ предусматривает усиление ответственности операторов обработки персональных сведений за утечку информации.

Если произойдет ситуация с утечкой персональной информации, оператор должен:

  • направить уведомление о произошедшем в Роскомнадзор — не позже 24-х часов;
  • произвести внутреннее расследование и уведомить службу о его результатах — не позже 72-х часов;
  • предоставить информацию о лицах, действия которых послужили причиной происшествия (при их наличии).

Сокращение сроков реагирования оператора на запросы

Оператору нужно оперативно реагировать на запросы, поступающие от субъектов персональных сведений и Роскомнадзора. Ему нужно будет передавать субъекту информацию, которая касается обработки его персональных сведений, не позже 10-ти рабочих дней (ранее — не позже 30-ти рабочих дней). Но этот срок могут продлить на 5 рабочих дней, когда оператор направляет в адрес субъекта мотивированное уведомление с указанием причины отсрочки.

Когда субъект передает оператору требование прекратить обработку его персональных сведений, последний обязан отреагировать на обращение не позже 10-ти дней, т.е. прекратить обрабатывать информацию.

Кроме того, по обращению Роскомнадзора оператор обязан предоставить необходимые сведения не позже 10-ти рабочих дней. Срок также может быть продлен на 5 рабочих дней при отправке мотивированного уведомления.

Усиление ответственности обработчика персональных сведений

Ответственность усилится в отношении иностранных обработчиков персональных сведений — лиц, обрабатывающих информацию на основании поручения.

Ранее разработчик был ответственен по поручению лишь перед оператором и не отвечал перед субъектами персональных сведений. С 01.09.2022 г. при поручении обработки персональных сведений иностранному лицу обработчик будет нести ответственность не только перед оператором, поручившим обработку, но и перед субъектом персональных сведений.

Изменение требований к поручениям

В обновленной редакции Закона № 152-ФЗ уточнили, что обработчик сведений должен соблюдать принципы, правила обработки, конфиденциальность информации, принимать необходимые меры, которые направлены на обеспечение выполнения обязанностей, предусмотренных законодательством.

В поручении оператору нужно установить список персональных сведений и действий (операций) с данными, которые будет совершать обработчик, а также его обязанность по соблюдению конфиденциальности. Также в поручении определяется обязанность по запросу оператора в течение периода действия поручения передавать документацию и сведения, которые подтверждают принятие мер и соблюдение обязанности обеспечивать безопасность персональных данных при их обработке.

В поручении отражается обязанность обработчика направлять оператору уведомление об утечках персональных сведений.

Новое в уведомлении Роскомнадзора об обработке персональных сведений

По ст. 22 Закона № 152-ФЗ, прежде чем оператор приступит к обработке персональных сведений, он обязан уведомить Роскомнадзор об этом намерении, для чего используется специальная анкета.

Раньше по закону предусматривалось несколько ситуаций, когда уведомление не требовалось. К примеру, если персональные сведения:

  • включают лишь ФИО;
  • требуются для однократного пропуска субъекта на территорию, где располагается оператор;
  • обрабатываются согласно трудовому законодательству и др.

Теперь список случаев, когда не нужно уведомлять Роскомнадзор, существенно сократили, и он включает лишь две ситуации:

  • персональные сведения передаются в государственные информационные системы, которые созданы для защиты безопасности страны и общественного порядка;
  • оператор обрабатывает сведения исключительно без применения средств автоматизации.

Новые требования к согласию на обработку персональных сведений

Согласие субъекта персональных сведений должно удовлетворять новым признакам.

Раньше (ст. 9 Закона № 152-ФЗ) согласие должно было быть конкретным, информированным и сознательным. С сентября 2022 года характеристики будут расширены — согласие также должно быть предметным и однозначным.

Корректировка требований к политике обработки персональных сведений

В связи с нововведениями оператор обязан в политике обработки персональных сведений для каждой цели обработки зафиксировать:

  • категории и список обрабатываемых персональных сведений;
  • категории субъектов, сведения которых обрабатывает;
  • способы, сроки их обработки и хранения;
  • правила уничтожения персональных сведений при достижении целей их обработки.

Чтобы соответствовать указанному требованию, нужно произвести аудит и установить цели, которые преследуются компанией при обработке персональных сведений, и далее работать по каждой из этих целей.

Также внесены корректировки в правила публикации политики обработки персональных сведений. Ее нужно не просто разместить на сайте, но и опубликовать на страницах сайта, где производится сбор сведений.

Важно! Политика обработки персональных сведений не должна включать положения, ограничивающие права субъектов этих сведений.

Нововведения в обработке биометрической информации

С сентября 2022 года начнет действовать запрет оператора отказывать физлицам в оказании услуг, когда они не хотят предоставлять биометрические данные и это не является обязательным требованием.

В соответствии со ст. 11 Закона № 152-ФЗ биометрические данные — это информация, характеризующая физиологические и биологические особенности человека, на основании которых имеется возможность установить его личность, к примеру, отпечатки пальцев.


Хотите получать подобные статьи по четвергам?
Быть в курсе изменений в законодательстве?
Подпишитесь на рассылку

Нет времени читать? Пришлем вам на почту!

Я даю Согласие на обработку персональных данных

Автоматизируем учет и бизнес-процессы

Получить коммерческое предложение