28 июля 2022
Существенные изменения правил обработки персональных данных

В Федеральный закон № 152-ФЗ от 27.07.2006 «О персональных данных» внесены изменения[1], серьезно меняющие правила обработки персональных данных с 1 сентября 2022 года.

Экстерриториальность

Закон закрепляет экстерриториальное действие Федерального закона «О персональных данных». Он будет применяться к обработке персональных данных граждан Российской Федерации, осуществляемой иностранными юридическими или физическими лицами на основании договоров и соглашений, одной из сторон которых являются российские граждане, либо на основании согласия гражданина Российской Федерации на обработку его персональных данных.

Стоит отметить, что пока нет понимания того, как правоприменительные органы будут обеспечивать соблюдение российского законодательства о персональных данных иностранными лицами в случае отсутствия у них какого-либо имущества или иного присутствия в России.

Ужесточение правил трансграничной передачи персональных данных[2]

Операторы будут обязаны официально уведомить Роскомнадзор о намерении осуществить трансграничную передачу персональных данных.

Срок рассмотрения уведомления составит 10 рабочих дней. В период рассмотрения уведомления передача персональных данных возможна только в юрисдикцию, обеспечивающую адекватную защиту прав субъектов персональных данных и включенную в специальный перечень Роскомнадзора. Для передачи в юрисдикцию, не обеспечивающую соответствующую защиту, необходимо будет ждать окончания рассмотрения уведомления Роскомнадзором.

Ведомство сможет запретить или ограничить трансграничную передачу в целях защиты основ конституционного строя РФ, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства, защиты экономических и финансовых интересов России, обеспечения дипломатическими и международно-правовыми средствами защиты прав, свобод и интересов граждан РФ, суверенитета, безопасности, территориальной целостности и других интересов России на международной арене.

Новые правила могут существенно повлиять на процессы в различных сферах бизнеса, в частности, электронной коммерции, финансовых услуг (расчетные операции, сделки на финансовых рынках и др.), реализацию корпоративного управления и иных внутренних процедур в международных холдингах, предполагающих трансграничную передачу персональных данных.

Дополнительные требования к согласию

Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным.

Ужесточение обязанностей оператора

Операторы обязаны:

  • Обеспечить взаимодействие с государственной системой обнаружения, предупреждение и ликвидацию последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА).
  • В течение 24 часов уведомлять Роскомнадзор об инцидентах с принадлежащими им базами персональных данных, а в течение 72 часов – о результатах внутреннего расследования выявленного инцидента.
  • Публиковать политики по обработке персональных данных на страницах сайта, с использованием которых осуществляется сбор персональных данных.

Также сокращен перечень случаев, когда оператор вправе обрабатывать персональные данные без уведомления Роскомнадзора.

Дополнительные требования к поручению оператора на обработку персональных данных

Законом установлены дополнительные требования к содержанию поручения. В нем теперь должны быть определены перечень персональных данных, требования о локализации и меры, направленные на обеспечение выполнения оператором мер, предусмотренных Федеральным законом «О персональных данных»[3], а также обязанность по запросу оператора персональных данных предоставлять определенные документы и информацию, требование об уведомлении оператора о случаях неправомерной или случайной передачи персональных данных.

В случае поручения обработки персональных данных иностранному юридическому или физическому лицу, ответственность будет нести не только оператор, но и лицо, осуществляющее обработку персональных данных по поручению оператора.

Новые требования к обработке биометрии и запрет принуждения к предоставлению персональных данных

Операторам будет запрещено отказывать в оказании услуг гражданам, которые не хотят предоставлять свои биометрические персональные данные. В закон о защите прав потребителей недавно внесено аналогичное положение[4], запрещающее отказывать потребителю в заключении, исполнении, изменении или расторжении договора в связи с отказом за исключением случаев, если обязанность предоставления таких данных предусмотрена российским законодательством или непосредственно связана с исполнением договора с потребителем.

Данная норма направлена на ограничение избыточной обработки персональных данных и неосознанного или вынужденного предоставления потребителем своих персональных данных в иных целях или в большем объеме, чем необходимо для исполнения договора.

В развитие указанной нормы 28 мая 2022 года был принят закон[5], предусматривающий административную ответственность в случае отказа заключать, исполнять, изменить или расторгать договор с потребителем при его отказе предоставить персональные данные.

РЕКОМЕНДАЦИИ

  • Оцените текущие процессы и решения на предмет их соответствия действующим требованиям и принимаемым изменениям и при необходимости скорректируйте их.
  • Отслеживайте изменения законодательства, разъяснения регуляторов и правоприменительную практику.
  • Используйте имеющиеся возможности участия в законотворческом процессе.

Авторы: советник Елена Агаева, юрист Елена Квартникова

 

Данный материал подготовлен исключительно в информационных и/или образовательных целях и не является юридической консультацией или заключением. ЕПАМ, его руководство, адвокаты и сотрудники не могут гарантировать применимость такой информации для Ваших целей и не несут ответственности за Ваши решения и связанные с ними возможные прямые или косвенные потери и/или ущерб, возникшие в результате использования содержащейся в данных материалах информации или какой-либо ее части.

___________________________________________________________________________________________________

[1] Федеральный закон от 14.07.2022 N 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности».

[2] Новые правила вступают в силу с 1 марта 2023 г.

[3] Требования, предусмотренные ч. 5 ст. 18 и 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

[4] Федеральный закон от 01.05.2022 № 135-ФЗ «О внесении изменения в статью 16 Закона Российской Федерации «О защите прав потребителей».

[5] Федеральный закон от 28.05.2022 № 145-ФЗ «О внесении изменения в статью 14.8 Кодекса Российской Федерации об административных правонарушениях».

КЛЮЧЕВЫЕ КОНТАКТЫ

Елена Агаева

Елена Агаева

Санкт-Петербург

Елена Квартникова

Елена Квартникова

Санкт-Петербург