С текстом закона, вносящего поправки, вы можете ознакомиться на Портале правовой информации.
Обзор изменений закона о персональных данных в 2022 году
Статья 1 дополнена частью 1.1
Положения закона применяются к обработке ПДн граждан РФ, осуществляемой иностранными юридическими и физическими лицами, на основании:
- договора или соглашения, стороной которого является гражданин РФ;
- согласия гражданина РФ на обработку его ПДн.
Статья 4 дополнена частью 3.1
Подлежат согласованию с Роскомнадзором нормативные акты, регулирующие отношения, связанные с трансграничной передачей ПДн, обработкой специальных и биометрических ПДн, ПДн несовершеннолетних и обезличенных ПДн.
Пункт 5 части 1 статьи 6 дополнен
Заключаемый с субъектом ПДн договор не может содержать положения:
- ограничивающие права и свободы субъекта ПДн,
- устанавливающие случаи обработки ПДн несовершеннолетних,
- допускающие в качестве условия заключения договора бездействие субъекта ПДн.
Часть 3 статьи 6 изложена в новой редакции
Уточнены требования к содержанию поручения оператора ПДн. Теперь в нем должны быть указаны:
- перечень ПДн;
- перечень действий с ПДн;
- цель обработки ПДн;
- обязанность обработчика соблюдать конфиденциальность, а также требования части 5 статьи 18 и статью 18.1 закона;
- обязанность по запросу оператора предоставлять ему информацию и документы, подтверждающие соблюдение мер;
- обязанность уведомлять оператора об инцидентах безопасности ПДн.
Статья 6 дополнена частью 6
При поручении обработки ПДн иностранному лицу, такое лицо несет ответственность наряду с оператором.
Часть 1 статьи 9 изложена в новой редакции
Появились новые критерии, которым должно соответствовать согласие субъекта ПДн: предметность, однозначность.
Часть 15 статьи 10.1 изложена в новой редакции
Требования ст. 10.1 не распространяются на случаи обработки ПДн госорганами при выполнении ими функций, полномочий и обязанностей.
Статья 11 дополнена частью 3
Предоставление биометрических ПДн не может быть обязательным, за исключением случаев, предусмотренных ч. 2 ст. 11. Оператор не вправе отказывать в обслуживании в случае отказа субъекта ПДн предоставить биометрические ПДн или дать согласие на обработку ПДн.
Статья 12 изложена в новой редакции
Вводятся новые правила трансграничной передачи:
- Обязанность направления уведомление РКН о намерении осуществить трансграничную передачу;
- Обязанность оператора ДО подачи уведомления получить у потенциального получателя ПДн сведения/информацию о мерах, принимаемых получателем ПДн для обеспечения защиты ПДн, а также информацию (при передаче в страны, не обеспечивающие адекватную защиту ПДн) о правовом регулировании иностранного государства в области ПДн (такие сведения могут быть запрошены РКН, при этом необходимо предоставить их в течение 10 рабочих дней с даты запроса);
- Уведомление рассматривается РКН в течение 10 рабочих дней, по результатам РКН может запретить или ограничить трансграничную передачу;
- До рассмотрения уведомления РКН оператор вправе осуществлять трансграничную передачу в страны с адекватной защитой ПДн, но если впоследствии РКН вынесет решение о запрете трансграничной передачи, должен обеспечить уничтожение иностранным лицом полученных ПДн, а также не вправе осуществлять трансграничную передачу в страны, не обеспечивающие адекватной защиты ПДн;
- Операторы, осуществляющие трансграничную передачу до вступления поправок в силу, должны подать соответствующее уведомление до 1.03.2023 г.
Часть 3 статьи 14 изложена в новой редакции
Срок предоставления субъекту сведений в соответствии со статьёй 14 теперь составляет 10 рабочих дней.
Ответ должен направляться той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
Часть 7 статьи 14 дополнена
Перечень сведений, которые оператор должен сообщить субъекту, дополнен сведениями о мерах, предусмотренных статьёй 18.1.
Часть 2 статьи 18 изложена в новой редакции
Установлена обязанность оператора разъяснить субъекту ПДн последствия отказа в предоставлении ПДн или согласия на их обработку, если такое предоставление является обязательным.
Ст. 18.1 изложена в новой редакции
Уточняется перечень мер:
- Политика оператора и иные локальные акты в области обработки ПДн должны определять для каждой цели обработки категории и перечень ПДн, категории субъектов, способы, сроки обработки и хранения, порядок уничтожения.
- Принятие локальных актов, устанавливающих процедуры, направленные на предотвращение, выявление нарушений законодательства РФ, устранение последствий таких нарушений.
- Локальные акты не могут ограничивать права субъектов, а также возлагать на оператора законом полномочия и обязанности.
- Оценку вреда необходимо будет проводить в соответствии с требованиями, установленными Роскомнадзором (с 01.03.2023).
- Кроме того, что оператор обязан опубликовать политику на своем сайте, он еще должен опубликовать ее на тех страницах, на которых осуществляется сбор персональных данных.
Статья 19 дополнена
Устанавливается обязанность обеспечить взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).
Устанавливается обязанность информирования ФСБ о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.
Вышеуказанная информация будет передаваться в Роскомнадзор.
Статья 20 изложена в новой редакции
Срок ответа на запросы и обращения субъектов и Роскомнадзора сокращается до 10 рабочих дней. Указанный срок может быть продлен, но не более чем на 5 рабочих дней, при этом оператор обязан направить мотивированное уведомление с указанием причин продления срока.
Статья 21 дополнена
В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан:
- в течение 24 часов уведомить Роскомнадзор о произошедшем инциденте, о предполагаемых причинах, предполагаемом вреде, нанесенном субъектам , о принятых мерах по устранению последствий инцидента, , а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с Роскомнадзором по вопросам данного инцидента;
- в течение 72 часов —о результатах внутреннего расследования инцидента, а также при наличии о лицах, действия которых стали причиной инцидента.
При обращении субъекта о неправомерной обработке прекратить такую обработку в течение 10 рабочих дней, за исключение случаев, предусмотренных законом. Указанный срок также может быть продлен на 5 дней при условии обязательного уведомления субъекта о причинах продления.
Роскомнадзором будут установлены требования к подтверждению уничтожения ПДн.
Часть 2 статьи 22 изложена в новой редакции
Утратили силу практически все исключения, при которых оператор имеет право не уведомлять Роскомнадзор об обработке ПДн. Теперь таких исключений осталось только три:
- ПДн включены в государственные информационные системы, созданные в целях защиты безопасности государства и общественного порядка;
- осуществляется исключительно неавтоматизированная обработка ПДн;
- ПДн обрабатываемых в целя обеспечения транспортной безопасности,
Уточнены требования к содержанию уведомления Роскомнадзора:
- категории ПДн, категории субъектов, правовое основание, перечень действий и способы обработки должны указываются отдельно для каждой цели;
- для государственных и муниципальных информационных систем необходимо указывать лицо, которое имеет доступ или осуществляет обработку на основании договора.
В случае изменения ранее направленных в уведомлении сведений, оператор обязан не позднее 15 числа месяца, следующего за месяцем, в котором возникли изменения, уведомить Роскомнадзор об этих изменениях.
Статья 23 дополнена
Роскомнадзор создаст реестр учета инцидентов в области персональных данных. Информация об инцидентах будет передаваться в ФСБ.
Добавляя комментарий вы даёте согласие на обработку персональных данных в соответствии с Политикой и принимаете условия Оферты