С 1 сентября – важные изменения в законодательстве о персональных данных

1 сентября 2022 года вступят в силу июльские поправки в Федеральный закон от 27 июля 2006 г. № 152-ФЗ "О персональных данных", направленные на повышение защищенности персональных данных граждан от несанкционированного доступа неограниченного круга лиц, а также на усиление государственного контроля в указанной сфере (Федеральный закон от 14 июля 2022 г. № 266-ФЗ "О внесении изменений в Федеральный закон "О персональных данных", отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона "О банках и банковской деятельности").

Одно из главных изменений –уведомление в Роскомнадзор об обработке персональных данных (далее - ПД) теперь надо будет подавать практически во всех случаях обработки ПД. Перечень случаев, когда обработка возможна без такого уведомления, с 1 сентября 2022 года существенно сократится.

В частности, сейчас без уведомления допускается осуществлять обработку персональных данных:
  • обрабатываемых в соответствии с трудовым законодательством;
  • полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, притом, что эти сведения не распространяются, не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  • включающих в себя только фамилии, имена и отчества физических лиц;
  • необходимых для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
  • и в некоторых иных случаях, перечень которых приведен в ч. 2 ст. 22 Закона о персональных данных.
С 1 сентября 2022 года при обработке персональных данных в перечисленных случаях нужно будет сообщать в Роскомнадзор до начала обработки оператором персональных данных. На территории Курской области уполномоченным органом по защите прав субъектов персональных данных является Управление Роскомнадзора по Курской области. Уведомление об обработке персональных данных необходимо заполнять на официальной интернет-странице Управления Роскомнадзора по Курской области https://46.rkn.gov.ru/. Ссылка на интернет-страницу для заполнения уведомления: https://46.rkn.gov.ru/directions/p24906/p24914/p18601/ 

В числе исключений останутся, например, случаи, когда оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации.

Кроме того, поправками закреплена обязательность форм уведомлений о начале и прекращении обработки ПД, а также об изменении ранее представленных сведений, которые устанавливаются Роскомнадзором. После издания приказа об утверждении новых форм оператор ПД вправе направить в Роскомнадзор письмо для внесения изменений в сведения об операторе ПД в Реестре.
Помимо этого, поправками:
  • установлена обязанность операторов персональных данных обеспечивать взаимодействие с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА), включая информирование о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПД;
  • введены дополнительные обязанности оператора по устранению нарушений законодательства, допущенных при обработке ПД, по уточнению, блокированию и уничтожению ПД;
  • скорректированы требования к согласию на обработку ПД (ранее от такого согласия требовалось быть конкретным, информированным и сознательным. Теперь оно должно быть еще и предметным, а также однозначным);
  • уточнены требования к содержанию документов, определяющих политику оператора в отношении обработки ПД, локальных актов по вопросам обработки ПД.
Также с 1 сентября конкретизировано, где именно в соответствующей информационно-телекоммуникационной сети оператор, осуществляющий сбор ПД с использованием таких сетей, обязан опубликовать документ, определяющий его политику в отношении обработки ПД, и сведения о реализуемых требованиях к защите ПД. Согласно поправкам, опубликовать их необходимо "в том числе на страницах принадлежащего оператору сайта в интернете, с использованием которых осуществляется сбор ПД".

Уточнены положения, касающиеся обработки биометрических персональных данных. Установлено, что предоставление биометрических персональных данных не может быть обязательным, за исключением ряда случаев, указанных напрямую в Федеральном законе № 152-ФЗ. Кроме того, установлен прямой запрет операторам на отказ гражданам в обслуживании при отказе субъекта персональных данных предоставить биометрические персональные данные и (или) дать согласие на обработку персональных данных, если такое предоставление не является обязательным.