Обзор изменений Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" и КоАП в части составов правонарушений в указанной сфере

Статья
Борисов Дмитрий Александрович, кандидат экономических наук, эксперт Федеральной антимонопольной службы России по развитию конкуренции в здравоохранении и образовании

Требования к договору, согласию на обработку, политике, локальным актам. Уведомление Роскомнадзора об обработке, утечке данных. Подтверждение уничтожения данных, оценка вреда

16 Января 202340 109 зн.20 A45 010 руб.# 1633Выделить главное вкл выкл 262

Перечислим основные изменения Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее — ПДн, закон N 152-ФЗ):

1. Закон о ПДн распространяется на любую обработку данных российских граждан: сфера действия Закона о персональных данных расширяется, обработка ПДн подчиняется принципу экстерриториальности. Теперь в законе прямо указано, что требования Закона о ПДн необходимо соблюдать при обработке ПДн граждан РФ как на основании согласия гражданина на обработку его ПДн, так и на основании договора, стороной которого является гражданин, или на основании соглашений между иностранными лицами и гражданами, а также при обработке иностранными лицами данных граждан РФ.

2. Перечень информации, которую субъект ПДн может запросить, дополнен: закреплено право субъекта ПДн запросить информацию о способах исполнения оператором обязанностей по выполнению мер для соблюдения Закона о ПДн (например, информацию по обеспечению безопасности ПДн субъекта, политику по обработке ПДн и др.). Любые сведения, которые запрашивает субъект ПДн, должны быть предоставлены ему в той же форме, что и были направлены субъектом (если иное не указано в запросе).

3. Предоставление биометрических ПДн не может быть обязательным: если получение согласия на обработку биометрических ПДн не является обязательным по закону, то оператор не вправе отказать субъекту ПДн в обслуживании в случае его отказа предоставить такое согласие.

4. Согласно пункту 11 статьи 3 закона N 152-ФЗ трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. Трансграничной передаче персональных данных посвящена статья 12 указанного закона.

До 01.03.2023 операторы обязаны уведомить Роскомнадзор об осуществлении трансграничной передачи. После 01.03.2023 операторы обязаны уведомить Роскомнадзор о намерении осуществлять трансграничную передачу. Роскомнадзор может запросить в целях оценки достоверности сведений, содержащихся в уведомлении, дополнительную информацию.

По указанному уведомлению Роскомнадзор может принять решение о запрещении или ограничении трансграничной передачи. Аналогичное решение Роскомнадзор может принять по представлению уполномоченных государственных органов. При этом запрет распространяется на всю деятельность по трансграничной передаче, указанную в представлении или уведомлении от оператора; ограничение распространяется на содержание и объем ПДн, категории субъектов ПДн, планируемых к трансграничной передаче, не соответствующие целям трансграничной передачи, указанных в представлении или уведомлении оператора.

Рассмотрим далее в отдельных разделах следующие изменения закона N 152-ФЗ:

1. Установлены положения, которые не может содержать договор, заключаемый с субъектом ПДн.

2. Добавлены новые критерии согласия на обработку ПДн - предметность и однозначность.

3. Введены дополнительные требования к локальным актам, политике обработки ПДн.

4. Скорректирован ряд сроков, в том числе на ответ субъекту ПДн, для сообщения сведений в Роскомнадзор.

5. Расширен перечень случаев обработки ПДн, когда необходимо направлять уведомление в Роскомнадзор.

6. Появилось требование об уведомлении об утечке ПДн и о трансграничной передаче ПДн.

7. Определен порядок принятия решений о запрещении / ограничении трансграничной передачи ПДн.

8. Введены требования к порядку подтверждения уничтожения ПДн и оценке вреда, который может быть причинен субъектам ПДн.

9. Дополнен перечень требований к поручению оператора на обработку ПДн третьему лицу.

Изменения, которые вступят в силу 01.03.2023 отмечены далее в тексте, остальные изменения уже вступили в силу 01.09.2022.

 

Содержание

1. Требования к договору с субъектом персональных данных

2. Требования к согласию на обработку персональных данных

3. Требования к политике и локальным актам

4. Сокращение сроков направления ответов и уведомлений

5. Уведомление Роскомнадзора об обработке персональных данных

6. Уведомление Роскомнадзора об утечке персональных данных и ФСБ о компьютерных атаках

7. Подтверждение уничтожения персональных данных

8. Оценка вреда, причиняемого субъектам персональных данных

9. Поручение оператора на обработку персональных данных третьему лицу

10. Административная ответственность за нарушение требований в сфере обработки персональных данных

11. Административная ответственность в сфере защиты персональных данных, обрабатываемых в информационных системах

 

Перечень нормативных правовых актов

1. "Кодекса Российской Федерации об административных правонарушениях" от 30.12.2001 N 195-ФЗ

2. Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных"

3. Приказ Роскомнадзора от 28.10.2022 N 180 "Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных"

4. Приказ Роскомнадзора от 28.10.2022 N 179 "Об утверждении Требований к подтверждению уничтожения персональных данных"

5. Приказ Роскомнадзора от 27.10.2022 N 178 "Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных"

6. Письмо Роскомнадзора от 19.08.2022 N 08-75348 "О результатах рассмотрения обращения". Разъясняет обязанность работодателей уведомлять об обработке ПДн работников

7. Письмо Роскомнадзора от 06.09.2022 N 08-80975 "О рассмотрении письма". Разъясняет порядок уведомления об осуществлении деятельности по обработке ПДн

 

Доступ ограничен

Доступ предоставляется авторизованным пользователям

См. процедуру заказа и стоимость доступа к материалу

Для авторизации, нажмите в верхнем меню ссылку Войти. Далее следуйте инструкциям

См. подробную инструкцию по авторизации