28.43°C
eye1
26 июня 2024
О персональных данных: изменения в законодательстве (№ 266-ФЗ)

Изменения в законодательстве об обработке персональных данных, внесенные Федеральным законом от 14.07.2022 № 266-ФЗ

«О внесении изменений в Федеральный закон «О персональных данных»,  отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности», вступившие в силу с 01.09.2022.

Федеральным законом от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности» внесены изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон).

С 01.09.2022 вступили в силу следующие изменения:

  1. Согласно части 1.1 статьи 1 Федерального закона его положения стали применяться к обработке персональных данных граждан Российской Федерации, осуществляемой иностранными юридическими лицами или иностранными физическими лицами, на основании договора, стороной которого являются граждане Российской Федерации, иных соглашений между иностранными юридическими лицами, иностранными физическими лицами и гражданами Российской Федерации либо на основании согласия гражданина Российской Федерации на обработку его персональных данных;
  2. Статья 4 Федерального закона дополнена частью 3.1, согласно которой, нормативные правовые акты, принимаемые в соответствии с частью 2 настоящей статьи, подлежат обязательному согласованию с уполномоченным органом по защите прав субъектов персональных данных в случаях, если указанные нормативные правовые акты регулируют отношения, связанные с осуществлением трансграничной передачи персональных данных, обработкой специальных категорий персональных данных, биометрических персональных данных, персональных данных несовершеннолетних, предоставлением, распространением персональных данных, полученных в результате обезличивания. Срок указанного согласования не может превышать тридцать дней с даты поступления соответствующего нормативного правового акта в уполномоченный орган по защите прав субъектов персональных данных;
  3. Пункт 5 части 1 статьи 6 Федерального закона дополнен правовой нормой о том, что заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных;
  4. Часть 3 статьи 6 Федерального закона изложена в новой редакции следующего содержания: «Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным органом или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом. В поручении оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 настоящего Федерального закона, обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с настоящей статьей, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона, в том числе требование об уведомлении оператора о случаях, предусмотренных частью 3.1 статьи 21 настоящего Федерального закона»;
  5. Также статья 6 Федерального закона дополнена новой частью 6 о том, что в случае, если оператор поручает обработку персональных данных иностранному физическому лицу или иностранному юридическому лицу, ответственность перед субъектом персональных данных за действия указанных лиц несет оператор и лицо, осуществляющее обработку персональных данных по поручению оператора;
  6. Часть 1 статьи 9 дополнена положениями о том, что согласие на обработку персональных данных должно быть не только конкретным, информированным и сознательным, но также однозначным и предметным;
  7. Положения части 15 статьи 10.1 Федерального закона о том, что требования данной статьи не применяются в случае обработки персональных данных в целях выполнения возложенных законодательством Российской Федерации функций, полномочий и обязанностей, помимо государственных и муниципальных органов, распространили также на организации, подведомственные таким органам;
  8. Статья 11 дополнена частью 3, согласно которой предоставление биометрических персональных данных не может быть обязательным, за исключением случаев, предусмотренных частью 2 настоящей статьи. Оператор не вправе отказывать в обслуживании в случае отказа субъекта персональных данных предоставить биометрические персональные данные и (или) дать согласие на обработку персональных данных, если в соответствии с федеральным законом получение оператором согласия на обработку персональных данных не является обязательным;
  9. Часть 3 статьи 14 Федерального закона изложена в новой редакции следующего содержания: «Сведения, указанные в части 7 настоящей статьи, предоставляются субъекту персональных данных или его представителю оператором в течение десяти рабочих дней с момента обращения либо получения оператором запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Оператор предоставляет сведения, указанные в части 7 настоящей статьи, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе;
  10. Часть 7 статьи 14 дополнена пунктом 9.1, согласно которому субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Федерального закона;
  11. Часть 2 статьи 18 также изложена в новой редакции. Согласно данной правовой норме, если в соответствии с федеральным законом предоставление персональных данных и (или) получение оператором согласия на обработку персональных данных являются обязательными, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку.
  12. Информация, перечисленная в части 3 статьи 18, которую оператор до начала обработки персональных данных обязан предоставить субъекту персональных данных в случае, если персональные данные получены не от субъекта персональных данных, дополнена пунктом 2.1, предусматривающим перечень персональных данных;
  13. В части 1 статьи 18.1 Федерального закона, указывающей на меры, необходимые и достаточные для обеспечения выполнения оператором обязанностей, предусмотренных Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, слова «К таким мерам могут, в частности, относится:» заменены словами «К таким мерам, в частности, относятся:». Таким образом, данная формулировка делает перечисленные меры обязательными для оператора.

Частично изменилось и содержание пункта 2 части 1 названной статьи, в связи с чем в качестве одной из вышеназванных мер указано издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

Законодателем определено, что такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на операторов не предусмотренные законодательством Российской Федерации полномочия и обязанности;

Также, с 01.09.2023, в соответствии с частью 2 статьи 18.1 Федерального закона, оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего оператору сайта в информационно-телекоммуникационной сети "Интернет", с использованием которых осуществляется сбор персональных данных;

      14. Статья 19 Федерального закона, предусматривающая меры по обеспечению безопасности персональных данных при их обработке, дополнена частями 12-14.

В соответствии с пунктом 12 оператор обязан в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.

Указанная в части 12 настоящей статьи информация (за исключением информации, составляющей государственную тайну) передается федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, в уполномоченный орган по защите прав субъектов персональных данных.
Порядок передачи информации в соответствии с частью 13 настоящей статьи устанавливается совместно федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и уполномоченным органом по защите прав субъектов персональных данных.

    15. С тридцати календарных до десяти рабочих дней сокращен срок представления оператором информации с даты получения запроса субъекта персональных данных, установленный частью 1 статьи 20 Федерального закона. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации;

Аналогично, согласно части 2 этой же статьи, до десяти рабочих дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя сокращен срок для дачи письменного мотивированного ответа, содержащего ссылку на положение части 8 статьи 14 настоящего Федерального закона или иного федерального закона, являющееся основанием для такого отказа, в случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя.
Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
В соответствии с частью 4 данной статьи срок, в течение которого оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию также не должен превышать десять рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации;

    16. Статья 21 Федерального закона, устанавливающая обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных, дополнена частями 3.1 и 5.1.

Согласно части 3.1, в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:
1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
На основании части 5.1 оператор, в случае обращения к нему субъекта персональных данных с требованием о прекращении обработки персональных данных, обязан в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 настоящего Федерального закона. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

   17. В новой редакции изложена статья 22 Федерального закона.

Из части 2, согласно которой оператор вправе осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных, исключены пункты 1-6. Пункты 7-8 претерпели существенные изменения. Неизменным в части 2 статьи 22 остался пункт 9 части.
Таким образом, перечень оснований, при наличии которых оператор вправе осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных, сократился до трех пунктов.

Таким основаниями остались:

  • обработка персональных данных, включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  • обработка персональных данных в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;
  • обработка персональных данных в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Из части 3 статьи 22, определяющей перечень сведений, которые должны содержаться в уведомлении об обработке персональных данных, исключены пункты 3-6. Одновременно часть 3 дополнена пунктом 10.2, предусматривающим обязательное указание в уведомлении также фамилии, имени, отчества физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах.

Дополнительно в статью введены части 3.1, 4.1, 8.

Согласно части 3.1, при предоставлении сведений, предусмотренных частью 3 настоящей статьи, оператор для каждой цели обработки персональных данных указывает категории персональных данных, категории субъектов, персональные данные которых обрабатываются, правовое основание обработки персональных данных, перечень действий с персональными данными, способы обработки персональных данных.
В соответствии с частью 4.1 уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления от оператора уведомления о прекращении обработки персональных данных исключает сведения, указанные в части 3 настоящей статьи, из реестра операторов.

Частью 8 определено, что формы уведомлений, предусмотренных частями 1, 4.1 и 7 статьи 22, устанавливаются уполномоченным органом по защите прав субъектов персональных данных.

 

К.А.Калашникова
Управление Роскомнадзора по Сибирскому федеральному округу

https://rkn.gov.ru/treatments/ask-question/


Поделиться в социальных сетях:

Свидетельство о регистрации СМИ Эл № ФС77-60021 от 21.11.2014 г.
Использование материалов, опубликованных на сайте, допускается с обязательной ссылкой. Редакция не несет ответственности за достоверность информации, содержащейся в рекламных материалах. Мнение редакции не всегда совпадает с мнением авторов первого интернет-портала для пенсионеров НСО.

activniy gorod
activniy gorod
caritas
fpg
nasledie nso
new123
pfr partneri
rostel
rostel2
s3v
scisc
su emblema2
su emblema2
su emblema2
sv-consult-nsk