Изменения в ФЗ №152"Об обработке персональных данных" в 2022. Подробный разбор с рекомендациями

14 июля 2022 года Приняты поправки в закон о персональных данных (ПД), в котором многое, что поменялось. Разбираемся, какие изменения внесены, что нужно сделать в ближайшее время и какие появились риски.

Поправки значительно меняют порядок работы с персональными данными клиентов. Теперь компании должны:

• скорректировать политику конфиденциальности и оптимизировать порядок получения согласия на обработку персональных данных;
• изменить внутреннюю документацию, так как усилились правила безопасности данных;
• настроить взаимодействие с ГосСОПКой (подразделение ФСБ);
• если компания передает персональные данные за границу, необходимо уведомить об этом Роскомнадзор.

Оглавление:

1. Новые требования к согласиям на обработку ПД (ст. 1 п. 3 пп. а);
2. Новые требования к политике конфиденциальности и локальным актам (ст. 1 п. 10);
   
3. Сокращен срок реагирования на запросы субъектов (ст. 1 п. 12);
   
4. Биометрические персональные данные(ст. 1 п. 6);
   
5. Новые правила трансграничной передачи (ст. 1 п. 12);
   
6. Новые правила к поручению от оператора обработчику (ст. 1 п. 3 пп. б);
   
7. Необходимо выстроить взаимодействие с ГосСОПКой (ст. 1 п. 11);
   
8. Будет принят новый регламент для проведения “оценки вреда”. (ст. 1 п. 10 пп а абз 5);
   
9. Уведомление об инцидентах (ст. 1 п. 13 пп. а);
   
10. Уведомление об изменении ПД или прекращения обработки ПД (ст. 1, п. 14, пп б);
    
11. Экстерриториальность (ст. 1, п. 1);
    
12. Итог.

Источник: Федеральный закон от 14.07.2022 № 266-ФЗ

Статью подготовила

1. Нельзя собирать ПД несовершеннолетних, кроме случаев, установленных законодательством РФ.

2. Запрещено ограничивать прав и свобод субъектов персональных данных.

3. Нельзя получать согласия путем бездействия субъекта. То есть согласие не может даваться путем молчания, не предоставление ответа в течение какого-то времени и т.д.

Согласие может быть дано:

• в форме отдельного документа;

• путем подписания его электронной цифровой подписью;
  

• активация субъектом специального флажка «чекбокса» напротив пользовательского соглашения или политики конфиденциальности.

Также появились новые критерии к согласию (ст. 1 п. 4), в частности:

• предметность;
• однозначность.

Сейчас в ни в законе, ни в практике нет определений для этих критериев. Мы можем предположить, что :

Предметность означает возможность определить цель сбора ПД или перечень персональных данных, перечень действий (операций) с персональными данными.

Однозначность - из что субъект дает свое однозначное согласие на использование определенного перечня ПД.

Что нужно сделать?

Сейчас можно провести ревизию ваших документов:

• согласий субъектов ПД;
• пользовательских соглашений;
  
• политик конфиденциальности;
  
• других договоров, которые содержат правила обработки ПД клиентов.
  

Чем грозит

Нарушение правил для согласий на обработку персональных данных (КоАП ч. 2 ст. 13.11) наказывается штрафом от 30 до 150 тыс. руб.

Повторное нарушение от 300 до 500 тыс. руб.

Когда вступает в силу?

1 сентября 2022 года

Теперь в вашей политике для каждой цели обработки необходимо прописать (ст. 1 п. 10. пп. а абз. 4):

• категории и перечень ПД;
• способы, сроки их обработки и хранения;
• порядок порядок уничтожения;

Цель обработки - это, например, оказание услуг по договору или проведение смс-рассылки,

Важно! по новым правилам необходимо разместить политику конфиденциальности на каждой странице сайта, на которой осуществляется сбор ПД. (ст. 1 п. 10. пп б).

Что нужно сделать?

Провести ревизию политики конфиденциальности, прописать для каждой цели обработки ПД необходимую информацию.

Разместить политику на всех страницах сайта, где происходит сбор персональных данных.

Что будет, если этого не сделать?

Нарушение правил опубликования политики (КоАП ч. 3 ст. 13.11) наказывается штрафом от 30 до 60 тыс. руб.

Когда вступает в силу?

1 сентября 2022 года

Что могут запросить пользователи:

• спросить какие именно ПД есть у компании;
• запросить ознакомиться с ними;
• попросить прекратить обработку ПД.

Ранее срок ответа был 30 дней, теперь его сократили до 10 рабочих дней с возможностью продления до 15 рабочих дней.

Что нужно сделать?

1. Ускорить процедуру реагирования на запросы: проинформировать сотрудников об изменениях в порядке ответа на запросы субъектов ПД.

2.Внести изменения в политику конфиденциальности и внутренние документы, изменить там срок реагирования на актуальный.

Что будет, если этого не сделать?

В случае, если компания не предоставит требования по запросу в нужный срок (КоАП ч. 4 ст. 13.11) предусмотрен штраф от 40 до 80 тыс. руб.

Когда вступает в силу?

1 сентября 2022 года

Биометрические данные - отпечаток пальца, рисунок радужной оболочки глаза, код ДНК, слепок голоса и пр.

Теперь компания не может отказывать в обслуживании, если клиент отказался предоставлять ей биометрические данные.

Что нужно сделать?

Исключить из Договора положение об обязательности предоставления биометрических персональных данных.

Что будет, если этого не сделать?

Если компания оставит незаконное положение в договоре (КоАП ч. 1 ст. 13.11.) будет наложен штраф от 60 до 1000 тыс. руб.

Возможно, договоры также будут признаваться недействительными.

Когда вступает в силу?

1 сентября 2022 года

Трансграничная передача ПД - это передача ПД через границу иностранному лицу. Правила применяются в том числе, если компания до вступления в силу изменений осуществляла трансграничную передачу данных.

Если компания передает ПД за границу, необходимо направить Роскомнадзору отдельное уведомление до 1 марта 2023 года.

Причем правила уведомления о трансграничной передаче отличаются в зависимости от того, в какую страну направляются данные:

Роскомнадзор может принять решение о запрете передачи ПД иностранному лицу.

В таком случае иностранное лицо должно уничтожить ранее полученные ПД, а оператор должен будет предоставить подтверждение этого.

Сейчас нет пояснений о том, каким образом может быть предоставлено доказательство уничтожения ПД иностранной компанией.

Что нужно сделать?

Если компания передает ПД пользователей иностранным компаниям, расположенным заграницей, то:

• Определить к какому виду стран относится страна получателя ПД.
• Собрать необходимую информацию.
• Уведомить Роскомнадзор до 1 марта 2023.

Что будет, если этого не сделать?

За несообщение информации госорганам (КоАП 19.7) предполагается штраф от 3 до 5 тыс. руб.

Когда вступает в силу?

1 марта 2023 года

Оператор - это лицо, осуществляющее обработку ПД. Все операторы включены в реестр: https://pd.rkn.gov.ru/operators-registry/operators-list/.

Обработчик - это лицо, осуществляющее обработку ПД строго по поручению оператора. Обработчик не собирает согласия субъектов ПД, этим должен заниматься Оператор. Обработчик обязан:

• соблюдать конфиденциальность;
• не передавать ПД третьим лицам;
• действовать строго в рамках поручения оператора.

Поручение - договор между обработчиком и оператором.

В тексте поручения к обработчику персональных данных теперь необходимо прописать:

• перечень ПД;
• все планируемые операций с ПД;
• цели обработки ПД;
• гарантию соблюдения конфиденциальности и безопасности ПД;
• обязанность обработчика по запросу оператора направить отчет о соблюдении требований конфиденциальности и безопасности;
• обязанность обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПД с использованием баз данных;
• все требования к защите ПД, содержащиеся в ст. 19 фз-152.

Более того, если обработчиком является иностранная компания, то оператор и обработчик несут ответственность наравне. (ст. 1 , п. 3, пп. в)

ГосСОПКА - это Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак, созданная в 2013 году.

ГосСОПКА расследует инциденты кибератак, выявляет уязвимости информационных систем безопасности.

ФСБ в скором времени должны принять подзаконный акт, который конкретизирует как именно нужно взаимодействовать с ГосСОПКой. После принятия акта ФСБ необходимо:

• принять регламент взаимодействия с ГосСОПКой
• выполнить иные требования акта (например, могут обязать установить определенное ПО).

Что нужно сделать?

ФСБ должны принять подзаконный акт, который бы определил как именно обеспечить взаимодействие с ГосСОПкой.

Внедрить взаимодействие с ГосСОПКой в соответствии с этим актом.

Что будет, если этого не сделать?

За несообщение информации госорганам (КоАП 19.7) предполагается штраф от 3 до 5 тыс. руб.

ФСБ в подзаконных актах могут также определить дополнительную ответственность за отказ подключаться к ГосСОПКе.

Когда вступает в силу?

1 сентября 2022 года

На данный момент особых требований Роскомнадзора нет, их планируют принять к 1 марта 2023 года. Возможно, в них будет закреплена процедура оценки вреда, а также правило о том, как часто нужно будет ее проводить.

Что нужно сделать?

Дождаться акта Роскомнадзора, который конкретизирует новый порядок “оценки вреда”.

Если оценка вреда станет обязательной, проводить ее в соответствии с новыми правилами.

Что будет, если этого не сделать?

Сейчас регулярно проводить “оценку вреда” не обязательно, компания сама выбирает какие именно меры по обеспечению безопасности ПД принимать. Роскомнадзор, однако, может проводить проверки и давать предписания провести оценку вреда. Выполнение предписаний обязательно.

Роскомнадзор в подзаконных актах могут в будущем определить иную ответственность.

Когда вступает в силу?

1 марта 2023 года

Инцидент - это утечка ПД (неправомерная или случайная передача).

Так, если произошел инцидент, оператор теперь обязан:

1. В течение 24 часов уведомить Роскомнадзор. В частности необходимо сообщить предполагаемые причины утечки и предполагаемый вред.

2. В течение 72 часов провести расследование инцидента и сообщить о его результатах.

Лучше всего создать внутренний регламент расследования и уведомления об инцидентах. Это поможет:

• быстро реагировать на инцидент;
• предоставлять его в случае проверки Роскомнадзора.

Что нужно сделать?

Создать внутренний регламент расследования и уведомления об инцидентах

Что будет, если этого не сделать?

За несообщение информации госорганам (КоАП 19.7) предполагается штраф от 3 до 5 тыс. руб.

Когда вступает в силу?

1 сентября 2022 года

Теперь оператор обязан:

• сообщить в Роскомнадзор об изменениях ПД в вашей базе в течение 15 дней;
• сообщить о прекращении обработки ПД в течение 10 дней.

Что нужно сделать?

Внести изменения во внутренний регламент компании. Уведомить сотрудников об этих изменениях.

Что будет, если этого не сделать?

За несообщение информации госорганам (КоАП 19.7) предполагается штраф от 3 до 5 тыс. руб.

Экстерриториальность значит, что теперь ФЗ "О персональных данных" распространяется на любых лиц, которые осуществляют обработку ПД граждан РФ с 1 сентября 2022 года.

До конца 2022 года вероятность привлечения к ответственности низкая, так как пока на плановые проверки Роскомнадзора наложен мораторий

На данный момент отсутствуют пояснения госорганов и практика по внесенным изменениям, следовательно не на что ориентироваться.

Однако, на данном этапе точно можно:

• провести ревизию политики конфиденциальности и разместить ее на всех страницах сайта;
• провести ревизию договоров и согласий на использование ПД;
• изменить внутренние акты компании в целях быстрого реагирования на запросы субъектов ПД;
• изменить внутренние акты компании, внести обязанность сотрудников уведомлять Роскомнадзор об изменениях ПД клиентов;
• в случае передачи ПД пользователей иностранным компаниям, уведомить Роскомнадзор о трансграничной передаче.

Мы сейчас готовим большие разборы новых законов по ИТ-льготам. Если хотите оперативно узнать о наших статьях новостей, подписывайтесь на наш канал @aglegal.