Для операторов персональных данных предусмотрят ряд новых обязанностей и запретов, а также сократят сроки, за которые необходимо сообщать информацию в Роскомнадзор и другие государственные органы. Поправки уже прошли финальное чтение в Госдуме и вступят в силу с 1 сентября 2022 года. 14.07.2022 Закон подписан и опубликован на портале правовой информации.

Когда необходимо отправлять уведомления в Роскомнадзор

Уведомлять Роскомнадзор о планах обрабатывать личную информацию будет необходимо и в случаях, когда эти сведения (абз. 2 пп. «а» п. 14 ст. 1 Проекта Федерального закона N 101234-8):

  • относятся к работникам;
  • принадлежат контрагентам оператора, а он использует персональные данные, чтобы исполнять договоры или заключать новые соглашения с теми же гражданами (при этом сведения не распространяют и не передают третьим лицам без согласия);
  • нужны для однократного пропуска гражданина на территорию оператора или для аналогичных целей.

Уведомление можно отправить в виде бумажных документов по почте, либо в электронном виде. Инструкции для каждого варианта на сайте РКН.

После обработки уведомления Роскомнадзор включит оператора в свой реестр. Проверить наличие оператора персональных данных в реестре можно на сайте Роскомнадзора.

Сейчас в этих и некоторых других случаях извещать Роскомнадзор не нужно. Оператор должен будет до начала обработки личных сведений, которые он получил от другого источника, перечислить такие данные их субъекту (пп. «б» п. 9 ст. 1 проекта ФЗ).

Трансграничная передача данных

Также с 1 марта 2023 года компании будут обязаны уведомлять РКН в случае, если они отправляют персональные данные из РФ за границу. При этом при определении трансграничной передачи будет учитываться не страна регистрации принимающей стороны, а расположение инфраструктуры. В отдельных случаях контролирующие органы могут ограничить передачу персональных данных за границу. Кроме того, вводится принцип экстерриториальности для российского законодательства о персональных данных. Таким образом, обработка персональных данных граждан РФ за границей также будет объектом регулирования соответствующих органов государственной власти РФ.

Обязанность уведомления об инцидентах

Нужно будет работать с госсистемой обнаружения, предупреждения и ликвидации последствий кибератак на информресурсы РФ. В частности, через нее придется сообщать об инцидентах, из-за которых произошла утечка личных сведений в течение 24 часов после происшествия, с указанием предполагаемых причин инцидентов и мерах по их устранению (абз. 2 п. 11 ст. 1 проекта ФЗ). 11.08.2022 На заседании Общественного совета при Роскомнадзоре необходимость этого изменения Роскомнадзор обосновал так: «Это необходимо, чтобы как можно быстрее снизить доступность таких баз персональных данных в интернете. Также обработка персональных данных станет возможна только в целях договора, в котором нет условий, ограничивающих человека в его праве контролировать свои персональные данные — получать информацию об обработке, требовать удаления или уничтожения данных, не соглашаться с передачей данных третьим лицам.».

Раннее такая обязанность возлагалась только на компании-операторов критической инфраструктуры. Все они с 2018 года были обязаны подключиться к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА), созданной на основании Указа Президента РФ №31с от 15.01.2013. Информация, собранная в указанной системе, обрабатывается Национальным координационном центре по компьютерным инцидентам (НКЦКИ) и все операторы, подлючённые к ГоСОПКА, имеют доступ к актуальной информации об утечках, критических уязвимостях и кибератаках на объекты критической инфраструктуры. Новый закон, по-видимому, распространит аналогичные практики на всех операторов персональных данных. Подключение к системе ГоСОПКА осуществляется с помощью компаний, настроивших безопасную передачу данных с этой системой и предоставляющих услуги по подключению новых компаний (чаще всего это операторы связи, либо компании, работающие в сфере кибербезопасности). С 1 марта 2023 года Роскомнадзор будет вести учёт инцидентов в специализированном реестре.

Что необходимо прописать в ЛНА

С 1 сентября необходимо будет определить в ЛНА для каждой цели обработки персональных данных:

  • Категории и перечень обрабатываемых персональных данных;
  • Категории субъектов персональных данных;
  • Способы обработки персональных данных;
  • Сроки обработки и хранения персональных данных;
  • Порядок уничтожения персональных данных при достижении целей их обработки, либо при наступлении иных оснований.

Обязанности лиц, которые осуществляют обработку персональных данных по поручению оператора

В случае, если оператор персональных данных поручает обработку персональным данным другим физическим или юридическим лицам, то такие лица обязаны принять меры по обеспечению соблюдения требований 152-ФЗ. Оператор персональных данных вправе запросить у таких лиц документы и иную информацию, которая подтверждает соблюдение этими лицами требований 152-ФЗ. В случае возникновения инцидентах, которые могут повлечь нарушение прав субъектов персональных данных, лица, обрабатывающие персональные данные по поручению оператора, обязаны уведомить оператора об инциденте и о мерах, принятых по предотвращению повторных инцидентов и устранению его последствий.
В новой редакции лица, обрабатывающие персональные данные по поручению оператора (в том числе если они являются иностранными физическими или юридическими лицами), несут ответственность перед субъектами персональных данных вместе с оператором.

Иные требования

  • Операторам запретят отказывать в предоставлении услуг физическим лицам, если они не хотят предоставлять биометрические сведения или соглашаться на обработку персональных данных, если по закону получать согласие на нее необязательно (п. 6 ст. 1 проекта).
  • По требованию субъекта персональных данных оператор обязан прекратить обработку персональных данных в течение 30 дней после поступления запроса.
  • Запрещена обработка биометрических персональных данных несовершеннолетних.

Изменения сроков

С 30 суток до 10 рабочих дней сократят время на то, чтобы оператор сообщил Роскомнадзору по его запросу нужные данные (пп. «в» п. 12 ст. 1 проекта ФЗ). Течение срока можно продлить (максимум — 5 дополнительных дней), предоставив в Роскомнадзор мотивированное уведомление.
Поправки вступят в силу 1 сентября 2022 года, кроме отдельных положений, которые начнут применять с 1 марта 2023 г.

Контроль и ответственность операторов персональных данных за нарушения

Роскомнадзор контролирует операторов персональных данных в рамках контрольных мероприятий трёх типов:

  • инспекционный визит;
  • документарную проверку;
  • выездную проверку.

За невыполнение обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, организацию могут привлечь к административной ответственности. Например, максимальный штраф для организации:

  • за невыполнение в установленные сроки требования субъекта персональных данных (его представителя) либо Роскомнадзора об уточнении персональных данных в случае, когда они являются неполными, устаревшими, неточными, составляет 90 тыс. руб., за повторное правонарушение — 500 тыс. руб. (ч. 5, 5.1 ст. 13.11 КоАП РФ);
  • за невыполнение при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, обязанности обеспечить, в частности, хранение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ, составляет 6 млн руб., за повторное правонарушение — 18 млн руб. (ч. 8, 9 ст. 13.11 КоАП РФ).
    Если действия физлица содержат признаки преступления, то его могут привлечь к уголовной ответственности.

Поддержка Konsu

Специалисты нашей компании при необходимости помогут проанализировать документы, подготовить ЛНА, заполнить необходимые формы и уведомить Роскомнадзор о намерении оператора осуществлять обработку персональных данных (ч. 1 ст. 22 Закона о персональных данных). Подробнее о наших услугах по защите персональных данных.