Изменение законодательства о персональных данных

С 1 сентября 2022 г. Федеральный закон от 27 июля 2006 года N 152-ФЗ «О персональных данных» начнет действовать в новой редакции.

Поправки были внесены Федеральным законом от 14 июля 2022 г. N 266-ФЗ. В числе основных изменений:

1. Об обработке персональных данных работников в соответствии с трудовым законодательством нужно уведомлять Роскомнадзор.У работодателей появляется обязанность уведомлять Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) об обработке персональных данных своих работников даже в том случае, если обработка осуществляется только в рамках трудового законодательства. Действующая редакция ФЗ «О персональных данных» освобождает работодателей от такой обязанности (подпункт 1 пункта 2 статьи 22 ФЗ «О персональных данных). Перечень случаев, когда оператор персональных данных может не уведомлять Роскомнадзор, с 1 сентября 2022 года значительно сократится. К таким случаям в частности относится обработка персональных данных исключительно без использования средств автоматизации. Порядок уведомления Роскомнадзора об обработке персональных данных содержится в статье 22 Закона «О персональных данных» Сформировать Уведомление можно на Портале персональных данных Роскомнадзора, направить в его в территориальный орган Роскомнадзора можно в бумажном виде, в электронном виде с использованием усиленной квалифицированной электронной подписи или в электронном виде с использованием средств аутентификации ЕСИА. (https://pd.rkn.gov.ru/operators-registry/notification/updateform/).
2. Изменяются требования к содержанию уведомления. Скорректирован перечень сведений, которые должны быть указаны в уведомлении Роскомнадзора, его можно найти в пункте 3 статьи 22 ФЗ «О персональных данных».
3. Уточняются требования к согласию субъекта персональных данных на обработку его персональных данных. Согласно новым требованиям согласие должно быть не только конкретным, информированным и сознательным, но и предметным и однозначным (пункт 1 статьи 9 ФЗ «О персональных данных). Это означает, что на каждую конкретную цель должно быть дано отдельное согласие. Например, при передаче персональных данных аутсорсинговой компании для ведения кадрового учета и расчета заработной платы от работников требуется получить отдельное согласие с указанием наименования юридического лица, которое будет обрабатывать персональные данные работников по поручению оператора.
4. Уточнены требования к содержанию локальных актов по вопросам обработки персональных данных (далее ПДн). По новым правилам для каждой цели обработки персональных данных необходимо определить категории и перечень обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований. Также запрещено включать в локальные акты положения, ограничивающие права субъектов ПДн, а также возлагающие на операторов не предусмотренные законодательством РФ полномочия и обязанности.
5. Сокращены сроки исполнения запросов Роскомнадзора (далее РКН) и субъектов ПДн. Ранее срок исполнения запросов был 30 дней, теперь сократился до 10 рабочих дней с возможным продлением на 5 рабочих дня при наличии мотивированного уведомления. Рекомендуем внести в нормативные документы корректировки по новым изменениям.
6. Разъяснения о предоставлении ПДн. Если в соответствии с федеральным законом предоставление персональных данных и (или) получение оператором согласия на обработку персональных данных являются обязательными, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку. Рекомендуем разработать разъяснения для субъекта.
7. Вводится обязанность операторов уведомлять РКН о трансграничной передаче ПДн. Это уведомление подается отдельно от уведомления о начале обработки ПДн. Норма вступает в силу с 1 марта 2023 года. Операторы, которые осуществляли трансграничную передачу ПДн до дня вступления в силу изменений в 152-ФЗ и продолжают осуществлять такую передачу после дня вступления в силу изменений в 152-ФЗ, обязаны не позднее 01.03.2023 направить в РКН уведомление об осуществлении трансграничной передачи ПДн.
8. Взаимодействие с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Устанавливается обязанность оператора обеспечивать взаимодействие с ГосСОПКА, включая информирование о компьютерных инцидентах. Порядок взаимодействия с ГосСОПКА должен быть утвержден ФСБ. 
9. Размещение Политики обработки ПДн на сайтах. Вводится требование о размещении политики оператора в отношении обработки ПДн, или ссылки на нее, на тех страницах Интернет-сайтов, которые используются для сбора ПДн
10. Уведомление РКН о инцидентах с ПДн. Устанавливается обязанность оператора уведомлять РКН об утечке персональных данных в течение 24 часов с момента выявления инцидента. Также в течение 72 часов оператор должен будет направить уведомление о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
11. Прекращение обработки ПДн. Вводится обязанность оператора в случае обращения субъекта ПДн с требованием о прекращении обработки персональных данных, в срок, не превышающий 10 рабочих дней с даты получения соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки, если ПДн переданы обработчику.
12. Уничтожение ПДн иностранными лицами. Обращаем внимание, что при принятии решения уполномоченным органом о запрете передачи ПДн иностранному лицу, обязанность уничтожения ПДн, которые иностранец получил от оператора, лежит на операторе. Рекомендуем это прописывать в договорах с иностранцами и в поручениях.
13. Биометрические ПДн. Вводится запрет оператору отказывать в обслуживании в случае отказа субъекта ПДн предоставить свои биометрические персональные данные или дать согласие на обработку таких данных. Эта норма направлена на пресечение недобросовестной практики некоторых организаций, в первую очередь кредитных, по вынуждению клиентов предоставлять согласия на обработку своих биометрических ПДн.