Обзор изменений Федерального закона «О персональных данных»

Ранее был подписан и опубликован Федеральный закон от 14.07.2022 №266-ФЗ, вносящий масштабные изменения в регулирования вопросов обработки персональных данных (ПД). По итогам рассмотрения законопроекта в Государственной Думе его содержание существенно изменилось по сравнению с предыдущей версией, о которой мы уже рассказывали ранее.

Наиболее важными из них являются изменения, касающиеся трансграничной передачи ПД:

• Уточнен ранее предложенный порядок уведомления Роскомнадзора об осуществлении трансграничной передачи ПД:
  • как и раньше, для правомерной трансграничной передачи ПД нужно уведомить об этом Роскомнадзор (в виде документа на бумажном носителе или в форме электронного документа). При этом теперь прямо указано, что такое уведомление направляется отдельно от уведомления о намерении осуществлять обработку ПД;
  • NEW! у оператора ПД, собирающегося осуществить их трансграничную передачу, появились следующие обязанности:
    • перед подачей уведомления оператор ПД должен получить от иностранных лиц, которым будут передаваться ПД, информацию о принимаемых ими мерах по защите ПД и условиям прекращения их обработки;
    • если получатель ПД не находится под юрисдикцией страны-участницы Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных или страны, включенной в перечень государств, обеспечивающих адекватную защиту прав субъектов ПД, то оператору ПД нужно будет получить информацию о правовом регулировании персональных данных в этой стране;
    • эти данные должны быть сообщены оператором ПД Роскомнадзору в случае получения соответствующего запроса.

• Роскомнадзор будет рассматривать направленное уведомление в течение 10 рабочих дней, а не 30, как это было в начальной редакции;
• По результатам рассмотрения уведомления, трансграничная передача ПД может быть запрещена или ограничена по целому ряду оснований: в целях защиты конституционного строя РФ, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
• Оператор может осуществить передачу ПД в страны, не обеспечивающие адекватную защиту прав субъектов ПД, только по истечении 10 рабочих дней с момента направления уведомления в Роскомнадзор, если только не будет принято решение о запрете или ограничении такой передачи (исключение – ПД нужны для защиты жизни, здоровья и иных жизненно важных интересов субъекта ПД). К странам, которые не обеспечивают адекватную защиту, в частности, относятся США, Китай. При этом передача ПД на территорию стран, обеспечивающих адекватную защиту прав субъектов ПД (например, страны ЕС), допускается сразу после направления уведомления в Роскомнадзор.
• В случае принятия Роскомнадзором решения о запрете или ограничении трансграничной передачи ПД, оператор обязан обеспечить уничтожение получателем ранее переданных ему ПД.

• NEW! В финальную редакцию законопроекта также добавили норму, согласно которой требования о направлении уведомления о трансграничной передаче ПД не применяются в случаях, если оператор ПД передает данные в целях исполнения функций и обязанностей государственных органов и Российской Федерации. Перечень таких случаев должен быть определен Правительством РФ.
• NEW! Новые требования о трансграничной передаче ПД имеют обратную силу: лицам, которые уже осуществляют такую передачу, до 1 марта 2023 года необходимо направить уведомление в Роскомнадзор в соответствии с требованиями, описанными выше.

Также следует отметить следующие изменения:

• Законом закреплена обязанность взаимодействия операторов ПД с системой ГосСОПКА, однако, из обязанности оператора ПД обеспечить непрерывное взаимодействие с данной системой убрали слово «непрерывное». Полагаем, это связано с тем, что обеспечение непрерывного взаимодействия с системой ГосСОПКА потребовало бы существенных затрат со стороны операторов ПД. Итоговый порядок взаимодействия с ГосСОПКА будет разработан ФСБ.
• Принцип экстерриториальности применения ФЗ «О персональных данных» изложен в новой редакции: положения ФЗ «О персональных данных» будут распространяться на обработку, осуществляемую иностранными лицами в отношении персональных данных граждан РФ на основании договора или иных соглашений между иностранными лицами и российским гражданином или отдельного согласия гражданина РФ на обработку его ПД.
• В итоговой редакции существенно сокращены сроки реагирования оператора ПД на запросы Роскомнадзора и субъектов ПД: теперь на все запросы и требования (в том числе о прекращении обработки ПД, их уточнении, блокировки или уничтожении) оператор ПД должен предоставить ответ в течение 10 рабочих дней. Этот срок может быть увеличен на 5 рабочих дней при мотивированном уведомлении Роскомнадзора или субъекта ПД.
• Нововведение о сокращении оснований, позволявших операторам обрабатывать ПД без уведомления Роскомнадзора, осталась без изменений. Другими словами, теперь в подавляющем большинстве случаев для обработки ПД оператору требуется уведомить Роскомнадзор.
• Также изменилось регулирование биометрических ПД: теперь любые лица независимо от возраста могут не предоставлять свои биометрические ПД для обработки, за исключением случаев, когда такая обработка является обязательной по закону.
• NEW! Изменены требования к содержанию политики обработки ПД: теперь категории и перечень обрабатываемых ПД, категории субъектов, ПД которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения ПД должны быть указаны отдельно для каждой цели обработки ПД.
• NEW! Были добавлены положения, вносящие изменения в Закон «О защите прав потребителей» и добавляющие обязанность по предустановке на мобильные устройства Единого магазина приложений.

После подписания федерального закона Президентом РФ большая часть положений вступит в силу 1 сентября 2022 года, за исключением следующих:

• новые требования к уведомлениям о трансграничной передаче ПД;
• положения о взаимодействии операторов ПД с системой ГосСОПКА;
• положения, касающиеся изменения порядка предоставления информации из ЕГРН;
• положения, обязывающие операторов ПД действовать в соответствии с дополнительными правилами, еще не разработанными Роскомнадзором,

которые вступят в силу с 1 марта 2023 года.