1 сентября 2022 года вступают в силу поправки в 152-ФЗ О персональных данных. Изменения внесены Федеральным законом от 14.07.2022 N 266-ФЗ и носят самый масштабный характер с 2011 года. Можно сказать, что уже с сентября существенным образом будут изменены требования к обработке персональных данных как сотрудников, так и иных лиц. При этом данные изменения касаются практически всех лиц, работающих с персональными данными.
1. Наиболее важным уточнением является требование подачи с 01.09.2022 г. уведомления в Роскомнадзор об обработке персональных данных. В старой редакции закона была масса исключений, которые позволяли этого не делать.
Основами поводами работы без «регистрации» в РКН были обработка ПДн сотрудников или в связи с заключением и исполнением договоров. Однако с сентября практически все исключения утратили силу.
Из числа актуальных остались только случаи неавтоматизированной обработки ПДн (т.е. при непосредственном участии человека при использовании, уточнении, распространении, уничтожении персональных данных в отношении каждого из субъектов персональных данных).
Таким образом, ранее работавшая связка Пользовательское соглашение – Политика конфиденциальности, служившая основанием для обработки ПДН в целях заключения и исполнения договора, с 01 сентября 2022 г. становится неактуальной. Даже при наличии Пользовательского соглашения, оферты и иного договора нужно подавать уведомление в РКН и готовить локальные документы по защите ПДн (в уведомлении сообщается о их наличии).
Следствием подачи уведомления является включение в реестр операторов персональных данных и плановые проверки РКН соблюдения организационных и технических требований к защите ПДн.
2. Вторым по важности изменением следует считать уведомление РКН о трансграничной передаче персональных данных с 01 марта 2023 года. Это актуально для сервисов с зарубежным хостингом или поставщиками услуг/товаров российским гражданам. При желании РКН может придраться также к использованию на сайте метрических программ для аналитики трафика или виджетов иностранных поставщиков услуг.
Нужно быть готовым, что РКН может отказать в разрешении на трансграничную передачу ПДн по ряду причин. Поэтому лучше задуматься заранее о переходе на отечественные решения, не требующие передачи данных за рубеж.
3. Третьим по важности изменением можно считать возложение на лицо, обрабатывающее персональные данные по поручению оператора (так называемого «процессора»), всех обязанностей по их защите, предъявляемых к оператору. На иностранного процессора дополнительно возлагается солидарная ответственность с оператором ПДн, т.е. субъект может предъявить требование напрямую как оператору, так и процессору.
Данные изменения актуальны для поставщиков облачных сервисов и SaaS (PaaS) решений. Закон обязывает включать подробное описание требований к обработке ПДн непосредственно в контракте с процессором.
4. Политика конфиденциальности должна теперь публиковаться не только где-то на сайте, но и на страницах сбора ПДн. Как вам такое предложение разместить Политику в форму обратной связи или захвата?
5. В завершение упомянем существенное сокращение сроков ответа на запросы субъекта персональных данных. Они сократились с 30 календарных до 10 рабочих дней. Но с учетом изложенного выше, эта поправка явно меньшее из зол.
Комментарии (28)
iuabtw
04.08.2022 13:05+1А штраф так и оставили 60к, да?
Проще на отделе безопасников сэкономить с такими расценками.
ictlawyer Автор
04.08.2022 13:17+1Да, нет. Штраф за непредоставление сведений по 19.7 до 5000 руб.
pewpew
04.08.2022 17:08А при чём здесь «непредоставление сведений»? Вопрос то в картинке, для привлечения внимания — «Как государство борется с утечками данных?».
Как итог — никак. Новой ответственности никакой, но вот регулирование сбора этих данных и жадности чиновников в доступе к ним — это конечно самое важное (для чиновников).
60к рублей — это и правда смешно для компаний. Им проще экономить на безопасности, ведь уголовки нет. А штрафы смешные.
Medeyko
04.08.2022 13:22+1Я правильно понял, что все ведущие деятельность организации и ИП с сотрудниками подпадают под требование регистрации в РКН в качестве оператора персональных данных? Т. е. эта уведомительная регистрация носит сквозной характер?
Причём разобраться в правильном оформлении и постоянно корректно следовать требованиям для малого бизнеса практически невероятно? (Не платя существенные деньги специалистам, особенно с учётом экономической ситуации.)
ictlawyer Автор
04.08.2022 13:32Кроме тех, кто обрабатывает ПДн в "ручном" режиме, т.е. ПДн используется, уточняется, распространяется, уничтожается в отношении каждого из субъектов персональных данных при непосредственном участии человека.
satone
04.08.2022 14:10У нас уведомление подано, но давно, а сейчас меня юротдел уверяет, что уведомление надо будет подавать каждый раз заново при начале работы с любыми новыми персональными данными. Действительно есть такие изменения?
ictlawyer Автор
04.08.2022 14:41Уведомление потребуется при отдельных изменениях обработки ПДн
satone
04.08.2022 14:54Спасибо за ответ, но не вполне понял (не совсем моя тема) что такое "отдельные изменения обработки ПДн": уведомлять заново придется если, допустим, изменится состав или алгоритм обработки ПДн? А не так, чтобы на каждый новый заключенный договор с новыми ПДн заново уведомление формировать?
ifap
04.08.2022 14:194. Политика конфиденциальности должна теперь публиковаться не только где-то на сайте, но и на страницах сбора ПДн. Как вам такое предложение разместить Политику в форму обратной связи или захвата?
Как и любое другое, высосанное из пальца. А вот куда более интересную новеллу автор не заметил:
Предоставление биометрических персональных данных не может быть обязательным, за исключением случаев, предусмотренных частью 2 настоящей статьи. Оператор не вправе отказывать в обслуживании в случае отказа субъекта персональных данных предоставить биометрические персональные данные и (или) дать согласие на обработку персональных данных, если в соответствии с федеральным законом получение оператором согласия на обработку персональных данных не является обязательным.
Т.е. с 1 сентября - все: сообщите нам свой телефон, e-mail и телегу и разрешите присылать на них спам, чтобы мы выдали вам дисконтную карту, больше не работает. Корреспондирующие дополнения внесли в ЗоЗПП, правда там эта норма прописана криво.
ictlawyer Автор
04.08.2022 14:43Телефон, email и телега, по-вашему, относятся к биометрии?
ifap
04.08.2022 14:53-2Нет, а к чему Вы это спросили?
ictlawyer Автор
04.08.2022 15:06+1Просто подколол, но вижу норму буквально читать умеете. Да, отказ дать согласие не является основанием для отказа в обслуживании, если получение согласия не является обязательным. При заключении договора получение отдельного согласия на обработку ПДн не обязательно. Наличие договора является самостоятельным основанием обработки ПДн. Так что банки продолжат обрабатывать ваши данные и без вашего согласия на основании договора на услуги.
ifap
04.08.2022 15:23Не все так просто, смотрите:
предоставить биометрические персональные данные и (или) дать согласие на обработку персональных данных
Биометрия - предоставить сами ПД, а небиометрия - дать согласие на обработку ПД. Согласие же дается на конкретные способы и цели обработки. Т.е. для целей исполнения договора - разумеется, даем согласие, а для целей рассылки спама - даем за щеку и попробуй теперь отказать. Это тот дьявол в деталях, которого депутаны не усвоили при внесении поправок в ЗоЗПП.
ictlawyer Автор
04.08.2022 15:44Поддерживаю! Но банк извратится и включит в договор условие об информационном обслуживании (читай, рассылке СПАМА). Тогда согласие на обработку ПДн не требуется и потребителю придется "выковыривать" из договора присоединения условие об информационном обслуживании.
ifap
04.08.2022 15:57Извратится на 100к+ штрафа от ФАС за каждый случай рассылки, т.к. согласие на получение рекламы по сетям электросвязи должно быть явным, практики по этому вопросу - тонны.
anonym0use
05.08.2022 07:04> за исключением случаев, предусмотренных частью 2 настоящей статьи.
Вот это обнуляет предыдущую, вроде бы позитивную часть, так теперь все что захотят через это исключение будут пропихивать
pvp
04.08.2022 14:25"Из числа актуальных остались только случаи неавтоматизированной обработки ПДн (т.е. при непосредственном участии человека при использовании, уточнении, распространении, уничтожении персональных данных в отношении каждого из субъектов персональных данных)."
"Неавтоматизированная обработка" и "обработка без использования средств автоматизации" -- это все-таки разные вещи.
GrMax
04.08.2022 14:38+1Похоже, что эти активности направлены именно на утечку ПД. Т.е. для крупных игроков практически ничего не изменится, ответственность за хранение ПД перекладывается на датацентр, использование ПД на местах закрывается соответствующими бумагами и использованием ЭП.
Для малых игроков, похоже, дела хуже, и к ним могут возникнуть вопросы.
ictlawyer Автор
04.08.2022 14:46Сейчас там такие формулировки, что вопросы могут возникнуть ко всем: все зависит от желания...
plgpegov
Спасибо за статью!