C 1 сентября 2022 года – важные изменения в законодательстве о персональных данных
1 сентября 2022 года вступят в силу июльские поправки в Федеральный закон от 27 июля 2006 г. № 152-ФЗ "О персональных данных", направленные на повышение защищенности персональных данных граждан от несанкционированного доступа неограниченного круга лиц, а также на усиление государственного контроля в указанной сфере (Федеральный закон от 14 июля 2022 г. № 266-ФЗ "О внесении изменений в Федеральный закон "О персональных данных", отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона "О банках и банковской деятельности").
Одно из главных изменений – уведомление в Роскомнадзор об обработке персональных данных (далее также ПД) теперь надо будет подавать практически во всех случаях обработки ПД. Перечень случаев, когда обработка возможна без такого уведомления, с 1 сентября 2022 года существенно сократится.
Из числа актуальных остались только случаи неавтоматизированной обработки ПДн (т.е. при непосредственном участии человека при использовании, уточнении, распространении, уничтожении персональных данных в отношении каждого из субъектов персональных данных).
Таким образом, ранее работавшая связка Пользовательское соглашение – Политика конфиденциальности, служившая основанием для обработки ПДН в целях заключения и исполнения договора, с 01 сентября 2022 г. становится неактуальной. Даже при наличии Пользовательского соглашения, оферты и иного договора нужно подавать уведомление в РКН и готовить локальные документы по защите ПДн (в уведомлении сообщается о их наличии).
Следствием подачи уведомления является включение в реестр операторов персональных данных и плановые проверки РКН соблюдения организационных и технических требований к защите ПДн.
Вторым по важности изменением следует считать уведомление РКН о трансграничной передаче персональных данных с 01 марта 2023 года. Это актуально для сервисов с зарубежным хостингом или поставщиками услуг/товаров российским гражданам. При желании РКН может придраться также к использованию на сайте метрических программ для аналитики трафика или виджетов иностранных поставщиков услуг.
Нужно быть готовым, что РКН может отказать в разрешении на трансграничную передачу ПДн по ряду причин. Поэтому лучше задуматься заранее о переходе на отечественные решения, не требующие передачи данных за рубеж.
Третьим по важности изменением можно считать возложение на лицо, обрабатывающее персональные данные по поручению оператора (так называемого «процессора»), всех обязанностей по их защите, предъявляемых к оператору. На иностранного процессора дополнительно возлагается солидарная ответственность с оператором ПДн, т.е. субъект может предъявить требование напрямую как оператору, так и процессору.
Данные изменения актуальны для поставщиков облачных сервисов и SaaS (PaaS) решений. Закон обязывает включать подробное описание требований к обработке ПДн непосредственно в контракте с процессором.
Политика конфиденциальности должна теперь публиковаться не только где-то на сайте, но и на страницах сбора ПДн. Как вам такое предложение разместить Политику в форму обратной связи или захвата?
В завершение упомянем существенное сокращение сроков ответа на запросы субъекта персональных данных. Они сократились с 30 календарных до 10 рабочих дней. Но с учетом изложенного выше, эта поправка явно меньшее из зол.