CC BY
18Е.А. Липова
ОБЗОР РЕФОРМЫ РОССИЙСКОГО ЗАКОНОДАТЕЛЬСТВА О ПЕРСОНАЛЬНЫХ ДАННЫХ 2022 ГОДА
В статье рассматриваются основные изменения в Федеральный закон «О персональных данных» от 27.07.2006 г. № 152-ФЗ, большинство из которых существенно меняют организацию работы с персональными данными в сфере предпринимательской деятельности, независимо от объема обрабатываемых данных, и вступили в силу с 1 сентября 2022 г. Предложены рекомендации бизнесу для приведения процессов в соответствие с новыми требованиями.
Ключевые слова: персональные данные, реформа, Роскомнадзор, оператор, обработка, 152-ФЗ.
C 1 сентября 2022 г. вступили в силу самые cущественные изменения в Федеральный закон «О персональных данных» от 27.07.2006 г. № 152-ФЗ с 2011 года. Изменения коснулись 15 из 29 статей Закона, 34 изменения в 26 норм будут применяться непосредственно с 1 сентября 2022 г и 7 изменений в 5 норм с 1 марта 2022 г. С одной стороны, изменения были обусловлены естественным процессом совершенствования законодательства, связанным с развитием информационных технологий, с другой стороны необходимостью сохранить неизменным, несмотря на меняющийся технологический уклад работы с персональными данным, конституционное право граждан на неприкосновенность их частной жизни, семейную и личную тайны.
Изменения были введены Федеральным законом от 14.07.2022 N 266-ФЗ "О внесении изменений в Федеральный закон "О персональных данных»и укрупненно могут быть представленны в виде следующих блоков:
1. Экстерриториальность
2. Согласие и договор на обработку
3. Обработка биометрических данных
4. Требования к операторам
5. Поручение на обработку
6. Трансграничная передача
7. Утечки персональных данных
Принцип экстерриториальности закона «О персональных данных» (ч. 1.1 ст. 1 152-ФЗ ) означает, что требования закона теперь в полной мере распростраяются на иностранных операторов. Подобное требование есть и в европейском законодательстве (GDPR, General Data Protection Regulation). Отныне субъекты и операторы должны аппилировать к этой норме при взаимодействии с иностранными компаниями и ожидать полного соблюдения требований российского законодательства. Ранее, до 1 сентября 2022 г., закон о персональных данных не содержал никаких указаний на применимость к иностранным юридическим лицам, осуществляющим обработку персональных данных граждан РФ.
Новые требования к согласиям (ч.1 ст.9 152-ФЗ) включают помимо конкретности, информированности, осознанности, два новых критерия, а именно, что согласия должны быть еще предметными и однозначными. Главным образом, это означает, что согласия должны быть пересмотрены в сторону более понятного языка для субъектов персональных данных и возможность множественной интерпретации содержания согласий должна быть максимально исключена.
Новые требования к договорам на обработку данных (п.5 ч.1 ст.6 152-ФЗ) указывают, что заключаемый с субъектом персональных данных договор не может содержать:
1. положения, ограничивающие права и свободы субъекта персональных данных;
2. положения, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством РФ;
3. положения, допускающие, в качестве условия заключения договора, бездействие субъекта персональных данных.
© Е.А. Липова, 2022.
Научный руководитель: Глеба Ольга Владимировна - кандидат юридических наук, доцент кафедры гражданского и арбитражного процесса, МГИМО МИД России.
Обработка биометрических персональных данных (ч.3 ст. 11 152-ФЗ), в соответствии с поправками в Закон о персональных данных не должна быть обязательной (за исключением случаев перечисленных в Законе). Операторы не вправе отказывать в обслуживании в случае отказа субъекта предоставить биометрические персональные данные и (или) дать согласие на обработку персональных данных, если получение согласия оператором на обработку не является обязательным.
Фактически три последних изменения, указанные выше, позволяют адресовать ситуации когда человек находится в заведомо зависимом положении от оператора и интересы субъекта подменяются интересами оператора и конечно ни о какой добровольности предоставления данных не может быть и речи.
Требования к операторам. С 1 сентября 2022 года изменены требования к содержанию уведомления об обработке персональных данных (ч.3.1, 8 ст. 22 152-ФЗ). Уведомление помимо уже привычной информации, такой как наименование оператора, категории персональных данных, основания и цели обработки и так далее, должно включать ФИО физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах. Для каждой цели обработки персональных данных оператор должен указывать категории персональных данных, категории субъектов, персональные данные которых обрабатываются, правовое основание обработки персональных данных, перечень действий с персональными данными, способы обработки персональных данных.
Также, поправками в Закон о персональных данных (п.2 ч. 1 ст. 18.1 152-ФЗ) установлено, что политика оператора в отношении обработки персональных данных должна определять для каждой цели обработки: категории и перечень обрабатываемых персональных данных, категории субъектов персональных данных, способы обработки, сроки обработки и хранения персональных данных, порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований. Также, поправки указывают на то где именно должна размещаться такая политика.
Срок ответа оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных (его представителя), а также Роскомнадзора сокращен с тридцати календарных дней до десяти рабочих дней со дня обращения (получения запроса). Этот срок может быть продлен, но не более чем на пять рабочих дней и только на основании мотивированного уведомления, которое оператор обязан направить инициатору запроса (ч. 1, 2 и 4 ст. 20 152-ФЗ).
Также, перечень мер, которые ранее рекомендовались для выполнения оператором с целью обеспечения выполнения обязанностей, из рекомендательного стал обязательным (ч. 1 ст. 18.1 152- ФЗ).
Поручения на обработку. С 1 сентября закон (ч.3 ст. 6 152-ФЗ) возлагает на обработчика договорные обязанности соблюдать конфиденциальность персональных данных и принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных законом, а также уточнены требования к содержанию поручения на обработку персональных данных. Так обработчик теперь обязан соблюдать требования локализации, а также, по запросу оператора в течение срока действия поручения, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение требований, установленных законодательством Российской Федерации в области персональных данных.
Трансграничная передача данных. С 1 марта 2023 года у операторов появляется обязанность по отдельному уведомлению Роскомнадзора о трансграничной передаче (ст.12 152-ФЗ). При этом, если оператор планирует трансграничную передачу на территорию иностранного государства, не являющегося стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных или не включенного в специализированный перечень РКН, то такая передача возможно только после получения разрешения Роскомнадзора.
Трансграничная передача персональных данных может быть запрещена или ограничена Роском-надзором в целях «защиты основ конституционного строя РФ, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства, защиты экономических и финансовых интересов РФ, обеспечения дипломатическими и международно-правовыми средствами защиты прав, свобод и интересов граждан Российской Федерации, суверенитета, безопасности, территориальной целостности Российской Федерации и других ее интересов на международной арене».
Уточнение порядка трансграничной передачи персональных данных обусловлено тем, что в сего-дяшних условиях передача персональных данных становится все более и более рискованным мероприятием, в том числе, в связи с непредсказуемостью поведения зарубежных партнеров, которое подвержда-ется многочисленными публикациями в СМИ.
Утечки персональных данных. С 1 сентября 2022 г. вводится обязанность оператора по уведомлению Роскомнадзора об утечках (ч. 12, 13, 14 ст. 19, ч. 3.1 и 5.1 ст. 21 152-ФЗ).
Не позднее 24 часов оператору необходимо сообщить:
- о произошедшем инциденте;
- предполагаемых причинах инцидента;
- о принятых мерах по устранению последствий соответствующего инцидента;
- сведения о лице, уполномоченном оператором на взаимодействие с РКН, по вопросам, связанным с выявленным инцидентом.
Не позднее 72 часов оператору необходимо предоставить результаты внутреннего расследования инцидента и, при наличии, сведения о лицах, действия которых стали причиной выявленного инцидента.
Также, введена обязанность оператора по обеспечению взаимодействия с ГосСопка. Поступившая от оператора информация передается органами ФСБ в Роскомнадзор в согласованном ими порядке (ч. 1214 ст. 19 152-ФЗ). Однако, на сегодняшний день, точный порядок взаимодействия на данный момент в процессе разработки.
В качестве общих рекомендаций в ответ на вступившие изменения, можно посоветовать бизнесу:
1. Провести аудит фактических процессов, которые содержат персональные данные. В рамках аудита - уточнить основания, цели обработки, перечень обрабатываемых персональных данных (вкл. биометрию), категории субъектов персональных данных, сроки их обработки и хранения, уточнить есть ли зарубежные лица, участвующие в компании и (или) взаимодействующие с компанией в части обработки персональных данных и оценить, применяется ли к ним принцип экстерриториальности, актуализировать потребность и направления трансграничной передачи данных, уточнить список лиц, осуществляющих обработку по поручению.
2. На основании аудита: а) удостовериться, что локальные нормативные акты содержат актуальную информацию и доведены до сведения работников (включая процедуру реагирования на инциденты); б) пересмотреть формы согласий, проверить и, соответственно, обновить условия договоров, которые могут включать обработку персональных данных; с) если применимо, актуализировать политику в отношении обработки персональных данных и проверить ее размещение соответственно требованиям; в) подготовить и направить изменения к поданному ранее уведомлению в Роскомнадзор.
Библиографический список
1. Конституция Российской Федерации (принята всенародным голосованием 12.12.1993 с изменениями, одобренными в ходе общероссийского голосования 01.07.2020) // Официальный интернет-портал правовой информации http://www.pravo.gov.ru, 04.07.2020.
2. Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 14.07.2022) «О персональных данных» // Официальный интернет-портал правовой информации http://pravo.gov.ru, 14.07.2022.
3. General Data Protection Regulation: Регламент Европейского парламента и Совета Европейского Союза 2016/679 от 27 апреля 2016 г. о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/EC от 24 октября 1995 г. о защите прав физических лиц при обработке персональных данных и о свободном движении таких данных // https://eur-lex.europa.eu/eli/reg/2016/679/oj, дата обращения 12 ноября 2022.
4. Вебинар Роскомнадзора об изменениях законодательства в сфере персональных данных, 29 сентября 2022 г. // Режим доступа: URL https://vk.com/wall-76229642 256653, дата обращения 12 ноября 2022.
ЛИПОВА ЕКАТЕРИНА АНАТОЛЬЕВНА - магистрант, МГИМО МИД России.
