ФЗ от 27.07.2006 N 152-ФЗ "О персональных данных" изменился. Нововведения коснутся практически всех компаний. Основная часть поправок вступила в силу 1 сентября 2022 года, кое-что отложено до 1 марта 2023 года. Что конкретно изменилось?

1. Уведомлять Роскомнадзор об обработке персональных данных теперь должны практически все - список исключений значительно сокращен
   
   

С 1 сентября нужно уведомлять об обработке ПД:

• работников;
  
  
• клиентов (даже если данные нужны только для заключения и исполнения договоров);
  
  
• членов (участников) общественного объединения или религиозной организации;
  
  
• разрешенных для распространения;
  
  
• даже при получении только ФИО;
  
  
• для однократного пропуска на территорию.

Можно не уведомлять об обработке ПД:

• включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  
  
• если вы обрабатываете ПДн без использования средств автоматизации;
  
  
• в случаях, предусмотренных законодательством о транспортной безопасности.
  

Изменение на основании подп. "а", "б" п. 14 ст. 1 Закона 226-ФЗ
Закреплено в ч. 2 ст. 22 Закона о ПДн

2. При подаче уведомления в РКН информацию об обработке персональных данных для каждой цели нужно указывать отдельно

Что нужно указывать:

• категории ПД;
  
  
• категории субъектов, ПД которых обрабатываются;
  
  
• правовое основание обработки ПД;
  
  
• перечень действий с ПД;
  
  
• способы обработки ПД
  

Изменение на основании подп. "в" п. 14 ст. 1 Закона 226-ФЗ
Закреплено в ч. 3.1 ст. 22 Закона о ПДн

3. Новые требования к политике обработки персональных данных

Теперь нужно определить для каждой цели обработки ПД:

• категории и перечень ПД;
  
  
• категории субъектов, ПД которых обрабатываются;
  
  
• способы, сроки обработки и хранения ПД;
  
  
• порядок уничтожения ПД.
  
  

Ссылку на политику в отношении обработки ПД нужно разместить на каждой странице сайта, на которой вы собираете ПД.

Изменение на основании п. 10 ст. 1 Закона 226-ФЗ
Закреплено в п. 2 ч. 1 ст. 18.1 Закона о ПДн

4. Теперь нельзя отказывать в обслуживании клиентам, если они не предоставляют биометрию

Биометрические персональные данные – это сведения о физиологических и биологических особенностях человека, на основании которых можно установить его личность. Отпечатки пальцев, рисунок радужной оболочки глаза и т. п. Их и раньше можно было обрабатывать только с письменного согласия. Теперь же гражданину нельзя будет отказать в обслуживании, если он не дал согласия на обработку биометрических ПД или не предоставил их.

Изменение на основании п. 6 ст. 1 Закона 226-ФЗ
Закреплено в ч. 3 ст. 11 Закона о ПДн

5. В договоры с гражданами теперь нельзя включать некоторые условия об обработке персональных данных

Вы не сможете включать условия, которые:

• ограничивают права и свободы субъекта ПД;
  
  
• устанавливают случаи обработки ПД несовершеннолетних, если иное не предусмотрено законодательством РФ;
  
  
• допускают в качестве условия заключения договора бездействие субъекта ПД.
  
  

Изменение на основании: подп. "а" п. 3 ст. 1 Закона 226-ФЗ
Закреплено в п. 5 ч. 1 ст. 6 Закона о ПДн

6. Новые требования к поручению на обработку персональных данных

Обработчики – это лица, которым оператор ПД дал поручение на обработку ПД. Теперь в поручении на обработку ПД нужно указывать:

• перечень ПД, которые будет обрабатывать обработчик;
  
  
• перечень действий (операций) с ПД, которые будет осуществлять обработчик;
  
  
• цели обработки ПД в рамках поручения;
  
  
• обязанность обработчика соблюдать конфиденциальность персональных данных;
  
  
• обязанность обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПД граждан РФ с использованием баз данных, находящихся на территории РФ;
  
  
• обязанность обеспечивать меры, предусмотренные ст. 18.1 Закона о ПД;
  
  
• обязанность обработчика направлять оператору отчет о соблюдении конфиденциальности и безопасности ПД;
  
  
• обязанность обработчика обеспечивать безопасность ПД при их обработке;
  
  
• требования к защите ПД, которые предусмотрены ст. 19 Закона о ПД;
  
  
• требование об уведомлении оператора об утечках ПД.
  
  

Ответственность оператора и обработчика изменилась. Если обработчик - российское физлицо или юрлицо, то ответственность несет только оператор. Если обработчик - иностранное лицо, то ответственность и на операторе, и на обработчике

Изменение на основании подп. "б" п. 3 ст. 1 Закона 226-ФЗ
Закреплено в ч. 3 ст. 6 Закона о ПДн

7. Сокращение сроков ответа на запросы об обработке персональных данных

При запросе об обработке ПД от субъекта ПД или Роскомнадзора нужно ответить в течение 10 рабочих дней. Можно продлить еще на 5 дней, но только при письменном объяснении причины.

Изменение на основании п. 12 ст. 1 Закона 226-ФЗ
Закреплено в ст. 20 Закона о ПДн

8. Установлен срок для прекращения обработки персональных данных, если он осуществляется без согласия субъекта

Оператор должен прекратить обработку ПД в течение 10 рабочих дней со дня получения требования субъекта ПД. Срок можно продлить на 5 рабочих дней, если в письменном виде объяснить субъекту ПД причину продления.

Это актуально в случае, когда вы обрабатываете ПД без согласия субъекта. Если же субъект отозвал согласие на обработку ПД, то срок остается прежним и составляет 30 дней со дня отзыва согласия.

Изменение на основании подп. "б" п. 13 ст. 1 Закона 226-ФЗ
Закреплено в ч. 5.1 ст. 21 Закона о ПДн

9. Новая обязанность - уведомлять Роскомнадзор об утечках персональных данных

Оператор должен уведомлять Роскомнадзор об утечках, которые привели к нарушению прав субъектов ПД. Недостаточно просто уведомить Роскомнадзор об утечке.

В течение 24 часов нужно предоставить данные:

• о факте утечки;
  
  

• о предполагаемых причинах;
  
  
• о предполагаемом вреде правам субъектов ПД;
  
  
• о принятых мерах по устранению последствий утечки;
  
  
• о работнике оператора, уполномоченным на взаимодействие с Роскомнадзором.
  
  

В течение 72 часов:

• о результатах внутреннего расследования утечки;
  
  
• о лицах, действия которых привели к утечке (если таковые есть).
  
  

Изменение на основании подп. "а", "б" п. 13 ст. 1 Закона 226-ФЗ
Закреплено в ч. 3.1 ст. 21 Закона о ПДн

10. Новая обязанность - уведомлять о компьютерных инцидентах

Оператор обязан передавать сведения о компьютерных инцидентах, которые привели к неправомерной передаче ПД. Передавать нужно в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА).

Регламент взаимодействия пока не утвержден.

Изменение на основании п. 11 ст. 1 Закона 226-ФЗ
Закреплено в ч. 12-14 ст. 19 Закона о ПДн

Что делать?

Принять решение, будете ли вы уведомлять РКН об обработке ПД работников и клиентов (если еще не включены в реестр операторов). Неуведомление грозит штрафом от 3 до 5 тысяч рублей (физлица и юрлица).

Поменяйте политику обработки ПД, локальные нормативные акты об обработке ПД и формы согласий на обработку ПД в соответствии с изменениями.

Пересмотрите оферты, формы договоров и уже заключенные договоры и приведите их в соответствие с новыми правилами.

В поручения на обработку ПД добавьте новые обязанности обработчика.

Разработайте и внедрите регламент уведомления РКН об утечках и их расследовании.


Источники информации:
ФЗ от 27.07.2006 N 152-ФЗ "О персональных данных"
ФЗ от 14.07.2022 N 266-ФЗ