Новый закон о защите персональных данных
Его еще часто называют «новый закон о персональных данных 2022 года».
Речь идет о Федеральном законе от 14.07.2022 № 266-ФЗ (переходите по ссылке в систему КонсультантПлюс, чтобы прочитать полный текст закона). Он вносит изменения в другой закон, который уже давно регулирует вопросы обработки и защиты персональных данных - Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (далее – Закон).
Таким образом, фактически не вышел новый закон о персональных данных, а принят закон, который изменил старую редакцию закона «О персональных данных». То есть, в закон «О персональных данных» внесены изменения.
С какого числа действуют новые изменения в персональных данных?
Новшества вступили в силу 01 сентября 2022 года. Но есть ряд изменений, которые начнут действовать гораздо позже – 01 марта 2024 года.
Какие изменения в закон о персональных данных актуальны для граждан в 2024 году?
Их довольно много. Перечислим основные моменты и ниже подробно объясним, что нового в обработке персональных данных (далее - ПД) с 01 сентября 2022 года затрагивает права физлиц.
Статья по теме: Что относится к персональным данным В этой статье рассказываем об основных понятиях и правилах работы с персональными данными. Эта информация поможет не ошибаться при их обработке, сведет к минимуму вероятность нарушений и ответственности за них. ПодробнееВо-первых, расширилась сфера действия Закона – теперь его должны соблюдать иностранные операторы ПД.
Во-вторых, дополнены требования к согласию человека на обработку персональных данных (изменения 2024).
В-третьих, уточнены правила предоставления оператору биометрических ПД.
В-четвертых, оператор по-новому взаимодействует с гражданином, чьи персональные данные обрабатывает.
Так, с 01 сентября 2022 года оператор связан рядом запретов. Один из них – это запрет отказывать в обслуживании человеку, который не хочет сообщать свои биометрические данные.
Еще у оператора появился целый ряд новых обязанностей перед гражданином, чьи персональные данные он использует.
Кроме того, теперь оператор должен обеспечивать доступ гражданину к его ПД в более короткие сроки, чем раньше.
Теперь Закон распространяется на иностранных операторов ПД
С 01 сентября 2022 года положения Закона должны соблюдать иностранные компании и граждане, которые обрабатывают ПД российских граждан.
Причем не имеет значения основание, по которому осуществляется такая обработка. Это может быть договор, другое соглашение или согласие гражданина РФ на обработку его персональных данных.
Новое правило (новое в персональных данных) предусмотрено в ч. 1.1 ст. 1 Закона.
Появились новые требования к согласию человека на обработку ПД
Оно является одним из законных оснований для того, чтобы оператор мог обрабатывать персональные данные.
Статья по теме: Согласие на обработку персональных данных: образец Персональная информация о каждом гражданине РФ не является общедоступной, поэтому действующее законодательство позаботилось о ее защите. Получатель такой информации должен иметь письменное согласие гражданина на ее обработку, такое условие указано в ст. 6 закона от 27.07.2006 № 152-ФЗ «О персональных данных». Практически в каждой ситуации, когда речь идет о личной информации, необходимо оформлять специальный документ - согласие на обработку персональных данных, образец которого можно найти далее. ПодробнееСейчас Закон требует, чтобы согласие на обработку ПД было конкретным, информированным и сознательным. С 01 сентября 2022 года оно также должно быть предметным и однозначным. Так что можно говорить о новой форме согласия на обработку персональных данных.
Биометрические ПД теперь надо предоставлять только в исключительных случаях
Это особая категория ПД. Это различные сведения о физиологических и биологических особенностях человека, по которым можно установить его личность (ст. 11 Закона). На обработку биометрических данных обязательно нужно письменное согласие гражданина.
Исключение – это случаи, которые прямо указаны в ч. 2 ст. 11 Закона. В них обрабатывать биометрические данные человека можно и без его согласия. Например, при осуществлении правосудия, при исполнении судебного акта, при обязательной дактилоскопической регистрации. Такие положения Закона актуальны на сегодняшний день.
С 01 сентября 2022 года правила о биометрических данных изменились.
В Законе четко зафиксировано, что человек должен сообщить такие данные о себе только в случаях, которые перечислены в ч. 2 ст. 11 Закона. Во всех остальных ситуациях предоставление биометрических данных не может быть обязательным.
В договоре с гражданином нельзя ущемлять его права
Одно из оснований для законной обработки ПД гражданина – это исполнение договора, по которому он является стороной, выгодоприобретателем или поручителем, или заключение такого договора в будущем (ч. 1 ст. 6 Закона).
С 01 сентября 2022 года в такой договор нельзя включать положения, которые:
- ограничивают права и свободы человека, чьи ПД будут обрабатываться,
- устанавливают случаи обработки ПД несовершеннолетних,
- допускают в качестве условия заключения договора бездействие гражданина.
Оператору запретили отказываться обслуживать человека
Речь идет о ситуациях, когда гражданин:
- не хочет давать свои биометрические ПД,
- не соглашается на обработку ПД, а согласно закону оператору необязательно заручаться согласием человека.
Новые положения включены в ст. 11 Закона.
Ввели новые обязанности оператора перед гражданином
С 01 сентября 2022 года оператор должен:
1) разъяснить гражданину последствия, если тот откажется дать согласие на обработку данных, которое обязательно в силу закона (ч. 2 ст. 18 Закона),
2) заранее сообщать человеку, чьи ПД он получил не от него самого, среди прочей информации перечень персональных данных, которые оператор будет обрабатывать (ч. 3 ст. 18 Закона),
3) предоставлять гражданину, помимо других сведений об обработке его ПД, информацию о способах выполнения оператором обязанностей, которые предусмотрены Законом (ч. 7 ст. 14 Закона),
4) прекратить обработку ПД человека, который потребовал этого, в срок не позднее 10 рабочих дней с даты получения обращения (ч. 5.1 ст. 21 Закона).
Этот срок можно продлить, но не больше чем на 5 рабочих дней, заранее уведомив гражданина.
Учтите, что в некоторых ситуациях оператор не обязан прекращать обработку ПД. Это ситуации, когда:
- оператор обрабатывает ПД не по согласию человека, а по другим основаниям (например, когда обработка нужна для исполнения судебного акта),
- оператор законно обрабатывает биометрические ПД,
- оператор законно обрабатывает специальные категории ПД (которые касаются расовой, национальной принадлежности гражданина, политических взглядов, состояния здоровья и т.п.)
Установили новые сроки для доступа человека к своим ПД
Гражданин, чьи персональные данные обрабатывает оператор, имеет право на доступ к ним. В частности, он может рассчитывать на получение следующих сведений: подтверждение факта обработки его данных оператором, правовые основания и цели обработки, подробная информация об операторе, сами обрабатываемые ПД, источник их получения, сроки обработки.
Получить всю эту информацию может сам гражданин или его представитель. Для этого надо обратиться к оператору с обращением или запросом (ст. 14 Закона).
Сейчас Закон устанавливает срок в 30 дней, чтобы оператор успел сообщить о наличии у него ПД этого человека и предоставить ему возможность ознакомиться с этими ПД. В этот срок оператор должен дать гражданину положительный или отрицательный ответ, предоставить данные для ознакомления или мотивированно отказаться это сделать (ст. 20 Закона).
С 01 сентября 2022 года действуют новые нормы о сроках доступа человека к своим ПД. Оператору дается всего 10 рабочих дней, чтобы успеть предоставить запрошенную информацию. Этот срок можно увеличить, но не больше чем на 5 рабочих дней, по решению самого оператора. Тогда гражданина надо уведомить об этом и указать причины, по которым срок ответа продлевается.
Важно! Требуемые сведения оператор направляет человеку или его представителю в той же форме, в какой тот направил обращение или запрос. Правда, заявитель может указать в них другие предпочтительные варианты получения информации.
Какие изменения о персональных данных актуальны для операторов в 2024 году?
Для операторов ПД также много нового в персональных данных:
1) Все операторы должны выполнять новые обязанности по защите персональных данных.
2) Оператору - компании следует учитывать новые требования при издании документов, которые касаются работы с ПД, и их опубликовании.
3) Операторам важно учесть, что с 01 сентября 2022 года уведомлять Роскомнадзор о предстоящей обработке ПД придется чаще, чем сейчас, а уведомление предстоит составлять по обновленным требованиям.
4) Любой оператор должен предоставить информацию по запросу Роскомнадзора в более короткие сроки, чем раньше.
5) Если оператор поручает обработку ПД другому лицу, надо учитывать новые требования к этой процедуре - например, к содержанию поручения.
Давайте разбираться со всеми новыми правилами обработки персональных данных по порядку.
Появились новые обязанности оператора в области защиты ПД
Речь идет о мерах по защите персональных данных, которые отныне обязаны предпринимать все операторы.
Сообщение в ФСБ обо всех утечках данных
Оператор теперь должен:
- взаимодействовать с госсистемой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ч. 12 ст. 19 Закона),
- сообщать о компьютерных инцидентах, которые привели к незаконной передаче ПД, в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, - ФСБ России (а тот уже сам передаст эту информацию в Роскомнадзор) (ч. 13 ст. 19 Закона).
Сообщение в Роскомнадзор о нарушении прав граждан при передаче информации
С 01 сентября 2022 года у оператора появились новые обязанности, если возникла утечка ПД. Речь идет об их незаконной или случайной передаче (предоставлении, распространении, доступе), которая нарушает права граждан. В таких ситуациях оператор должен сообщить в Роскомнадзор:
1) в течение 24 часов - о произошедшем инциденте, а также:
- о возможных причинах утечки,
- о предполагаемом вреде для людей, чьи ПД «утекли»,
- о мерах, которые оператор успел принять для исправления ситуации,
- о лице, которое будет контактировать с Роскомнадзором по поводу случившегося,
2) в течение 72 часов - о результатах внутреннего расследования инцидента и о его виновниках (если их нашли).
Названные сроки надо считать с момента, когда удалось выявить инцидент. Кстати, это может сделать не только сам оператор, но и Роскомнадзор, и другие заинтересованные лица (ч. 3.1 ст. 21 Закона).
Определен новый порядок работы с персональными данными для оператора-компании
Сейчас мы расскажем про изменения о персональных данных, актуальные для работы операторов, которые являются организациями.
Оператор – юрлицо должен издавать:
- документы, определяющие его политику в отношении обработки ПД,
- локальные акты по вопросам обработки ПД,
- локальные акты про процедуры, которые направлены на предотвращение, выявление нарушений законодательства и устранение их последствий.
С 01 сентября 2022 года действуют дополнительные требования к содержанию таких документов (ч. 1 ст. 18.1 Закона).
Они не могут включать положения, которые ограничивают права граждан, а также возлагать на операторов обязанности и полномочия, которых нет в Законе.
Кроме того, в локальных актах по вопросам обработки ПД для каждой цели обработки данных надо определить:
- категории и перечень обрабатываемых ПД,
- категории граждан, данные которых обрабатываются,
- способы, сроки их обработки и хранения,
- порядок уничтожения ПД, если достигнута цель их обработки или наступило другое законное основание.
Плюс есть еще один важный момент, который касается нового порядка обработки персональных данных операторами-компаниями.
Часто организация собирает ПД с помощью информационно-телекоммуникационной сети – например, сети интернет. Тогда она должна опубликовать там документ, который определяет политику организации в отношении обработки данных, и сведения о требованиях к защите ПД, которые она реализует (ч. 2 ст. 18.1 Закона).
С 01 сентября 2022 года введены дополнительные требования к размещению этого документа и сведений. Оператор - компания обязан, в том числе, разместить их на странице своего сайта, на котором он собирает персональные данные.
Бланк по теме: Образец Положения о персональных данных для интернет-сайтаУточнены случаи и порядок уведомления Роскомнадзора об обработке ПД
Любой оператор, который собирается обрабатывать ПД, должен сообщить о таком своем намерении в Роскомнадзор. Сделать это надо предварительно, то есть до начала обработки персональных данных. Это общее правило. Однако из него есть исключения.
Так, в ряде случаев оператор может обрабатывать ПД без уведомления Роскомнадзора. Перечень таких ситуаций определен в ч. 2 ст. 22 Закона и в настоящее время содержит 9 пунктов. В нем упомянуты, например:
- ПД, которые оператор обрабатывает в соответствии с трудовым законодательством,
- ПД, которые включают только ФИО граждан,
- ПД, которые необходимы для однократного пропуска человека на территорию оператора или в аналогичных целях.
С 01 сентября 2022 года перечень таких случаев существенно сократился – в нем осталось всего 3 пункта.
Так, с 01 сентября 2022 нужно уведомлять Роскомнадзор об обработке персональных данных, которые включают только ФИО граждан, которые необходимы согласно трудовому законодательству, которые нужны только, чтобы оформить пропуск для прохода через территорию.
Бланк по теме: Уведомление в Роскомнадзор об обработке персональных данныхИзменения коснулись и содержания уведомления, которое оператор направляет в Роскомнадзор. Некоторые сведения (например, категорию ПД и правовое основание для их обработки) надо теперь приводить для каждой цели обработки данных, указанной в уведомлении. Кроме того, теперь в уведомление нужно включать ФИО гражданина или наименование компании, которые имеют доступ или по договору обрабатывают персональные данные, содержащиеся в государственных и муниципальных информационных системах (ч. ч. 3, 3.1 ст. 22 Закона).
Оператор может информировать Роскомнадзор о том, что он прекратил обработку ПД. В таком случае из реестра операторов исключают информацию, которую оператор предоставлял ранее в уведомлении об обработке данных. Роскомнадзору дается 30 дней, чтобы актуализировать сведения реестра (ч. 4.1 ст. 22 Закона).
Сокращены сроки для ответа любого оператора на запросы Роскомнадзора
Они уменьшены с 30 дней до 10 рабочих дней, которые считают с даты получения запроса.
Есть возможность продлить этот срок, но не больше чем на 5 рабочих дней. Для продления оператору надо направить в Роскомнадзор мотивированное уведомление. В нем указывают причины увеличения срока, в который оператор направит нужную информацию (ч. 4 ст. 20 Закона).
Скорректирован порядок поручения обработки ПД другому лицу
Оператор имеет право поручить обработку ПД другому лицу. Делается это на основании договора, который заключает оператор, или акта госоргана или муниципального органа (далее - поручение оператора). По общему правилу, нужно предварительно заручиться согласием гражданина (ст. 6 Закона).
С 01 сентября 2022 года на лицо, которое обрабатывает ПД по поручению оператора, возлагаются дополнительные обязанности. В частности, оно должно соблюдать конфиденциальность персональных данных.
Также гораздо содержательнее стало поручение оператора. Так, помимо сведений, которые надо было указать в нем согласно нынешней редакции Закона, теперь в поручении будут приводить перечень персональных данных.
Еще появилось новое правило об ответственности оператора, который поручил обработку ПД иностранному гражданину или иностранной компании. В таком случае за действия такого лица перед гражданином отвечает не только оно, но и сам оператор.
Новые штрафы за персональные данные для операторов
Новые требования к обработке персональных данных повлекли новую ответственность для операторов.
Изменения внесли в статью 14.8 Кодекса РФ об административных правонарушениях (Федеральный закон от 28.05.2022 N 145-ФЗ). Они действуют с 01 сентября 2022 года.
Ответственность грозит операторам, которые отказались заключить, исполнить, изменить или расторгнуть договор с потребителем из-за его отказа предоставить ПД. За такие действия компанию могут оштрафовать на сумму от 30 до 50 тысяч рублей, а должностное лицо – от 5 до 10 тысяч рублей.
Важно учитывать, что ответственность не наступает, когда:
- потребитель был обязан сообщить ПД согласно требованиям федеральных законов или других правовых актов,
- предоставление данных непосредственно связано с исполнением договора.