Персональные данные: нюансы

Сегодня хочу обратить Ваше внимание на некоторые нюансы, связанные с организацией обработки персональных данных.

Думаю, Вы помните, что с 1 сентября 2022 года вступили в силу значительные изменения в Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных". Все сосредоточились на уведомлении Роскомнадзора об обработке персональных данных (далее - ПДн), размещении на своем сайте политики обработки ПДн и согласий.

А помните ли Вы не столь «яркие» нормы, которые также вступили в силу в прошлом году:

• закон о персональных данных получил экстерриториальное действие: его положения применяются в обработке ПДн граждан РФ, если ее осуществляют иностранные лица;
• договор с субъектом ПДн НЕ может ограничивать права и свободы субъекта ПДн, устанавливать случаи обработки ПДн несовершеннолетних (если иное не предусмотрено законодательством РФ), а также заключаться путем бездействия субъекта ПДн;
  
• оператор НЕ вправе отказывать в обслуживании в случае отказа субъекта ПДн дать согласие на обработку ПДн (если получение такого согласия не является обязательным);
  
• локальные акты по вопросам обработки ПДн НЕ могут ограничивать права субъектов ПДн, а также возлагать на операторов не предусмотренные законодательством Российской Федерации полномочия и обязанности;
  
• оператор обязан обеспечить взаимодействие с ГОССОПКА и информировать ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПДн.
  

А что же было потом?

А потом Роскомнадзор выпустил ряд приказов, в том числе:

1. Приказ от 27.10.2022 N 178 "Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных".

2. Приказ от 28.10.2022 N 179 "Об утверждении Требований к подтверждению уничтожения персональных данных".

3. Приказ от 14.11.2022 N 187 "Об утверждении Порядка и условий взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных".

ФСБ России также выпустило Приказ от 13.02.2023 г. N 77 "Об утверждении порядка взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных".

Все вышеуказанные приказы Роскомнадзора и ФСБ России вступили в силу с 1 марта 2023 года, когда вступили в силу и новые соответствующие изменения в Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

С 1 марта 2023 года также вступили в силу положения закона об ограничении передачи ПДн за рубеж. Теперь до начала трансграничной передачи ПДн оператор обязан уведомить о таком намерении Роскомнадзор. Уведомление направляется отдельно от уведомления о намерении осуществлять обработку ПДн. Новый порядок предполагает, что в особых случаях Роскомнадзор может принять решение о запрете или об ограничении трансграничной передачи ПДн.

При этом, 29 декабря 2022 года вступили в силу изменения в КоАП РФ, в том числе регулирующие порядок привлечения к административной ответственности по статье 13.11 КоАП РФ. Теперь сотрудникам Роскомнадзора НЕ всегда нужно выходить на проверку, чтобы привлечь оператора к ответственности за нарушения в работе с ПДн!

Хотите снизить риски штрафов за нарушения в области обработки ПДн, напишите мне t.me/infopravotulinova

Разберусь в вашем вопросе и найду выгодное для вас решение!

Юрист по защите онлайн-проектов | Юлия Тулинова

#персональныеданные #роскомнадзор #бизнес #онлайн #юрист #юридическаяконсультация