Обзоры законодательства
Обзор изменений Федерального закона «О персональных данных»
- Авторы: Антонина Шишанова, Вадим Ковалёв
- Услуга: Защита данных
- Дата: 19.07.2022
Ранее был подписан и опубликован Федеральный закон от 14.07.2022 №266-ФЗ, вносящий масштабные изменения в регулирования вопросов обработки персональных данных (ПД). По итогам рассмотрения законопроекта в Государственной Думе его содержание существенно изменилось по сравнению с предыдущей версией, о которой мы уже рассказывали ранее.
Наиболее важными из них являются изменения, касающиеся трансграничной передачи ПД:
- Уточнен ранее предложенный порядок уведомления Роскомнадзора об осуществлении трансграничной передачи ПД:
- как и раньше, для правомерной трансграничной передачи ПД нужно уведомить об этом Роскомнадзор (в виде документа на бумажном носителе или в форме электронного документа). При этом теперь прямо указано, что такое уведомление направляется отдельно от уведомления о намерении осуществлять обработку ПД;
- NEW! у оператора ПД, собирающегося осуществить их трансграничную передачу, появились следующие обязанности:
- перед подачей уведомления оператор ПД должен получить от иностранных лиц, которым будут передаваться ПД, информацию о принимаемых ими мерах по защите ПД и условиям прекращения их обработки;
- если получатель ПД не находится под юрисдикцией страны-участницы Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных или страны, включенной в перечень государств, обеспечивающих адекватную защиту прав субъектов ПД, то оператору ПД нужно будет получить информацию о правовом регулировании персональных данных в этой стране;
- эти данные должны быть сообщены оператором ПД Роскомнадзору в случае получения соответствующего запроса.
- Роскомнадзор будет рассматривать направленное уведомление в течение 10 рабочих дней, а не 30, как это было в начальной редакции;
- По результатам рассмотрения уведомления, трансграничная передача ПД может быть запрещена или ограничена по целому ряду оснований: в целях защиты конституционного строя РФ, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
- Оператор может осуществить передачу ПД в страны, не обеспечивающие адекватную защиту прав субъектов ПД, только по истечении 10 рабочих дней с момента направления уведомления в Роскомнадзор, если только не будет принято решение о запрете или ограничении такой передачи (исключение – ПД нужны для защиты жизни, здоровья и иных жизненно важных интересов субъекта ПД). К странам, которые не обеспечивают адекватную защиту, в частности, относятся США, Китай. При этом передача ПД на территорию стран, обеспечивающих адекватную защиту прав субъектов ПД (например, страны ЕС), допускается сразу после направления уведомления в Роскомнадзор.
- В случае принятия Роскомнадзором решения о запрете или ограничении трансграничной передачи ПД, оператор обязан обеспечить уничтожение получателем ранее переданных ему ПД.
- NEW! В финальную редакцию законопроекта также добавили норму, согласно которой требования о направлении уведомления о трансграничной передаче ПД не применяются в случаях, если оператор ПД передает данные в целях исполнения функций и обязанностей государственных органов и Российской Федерации. Перечень таких случаев должен быть определен Правительством РФ.
- NEW! Новые требования о трансграничной передаче ПД имеют обратную силу: лицам, которые уже осуществляют такую передачу, до 1 марта 2023 года необходимо направить уведомление в Роскомнадзор в соответствии с требованиями, описанными выше.
Также следует отметить следующие изменения:
- Законом закреплена обязанность взаимодействия операторов ПД с системой ГосСОПКА, однако, из обязанности оператора ПД обеспечить непрерывное взаимодействие с данной системой убрали слово «непрерывное». Полагаем, это связано с тем, что обеспечение непрерывного взаимодействия с системой ГосСОПКА потребовало бы существенных затрат со стороны операторов ПД. Итоговый порядок взаимодействия с ГосСОПКА будет разработан ФСБ.
- Принцип экстерриториальности применения ФЗ «О персональных данных» изложен в новой редакции: положения ФЗ «О персональных данных» будут распространяться на обработку, осуществляемую иностранными лицами в отношении персональных данных граждан РФ на основании договора или иных соглашений между иностранными лицами и российским гражданином или отдельного согласия гражданина РФ на обработку его ПД.
- В итоговой редакции существенно сокращены сроки реагирования оператора ПД на запросы Роскомнадзора и субъектов ПД: теперь на все запросы и требования (в том числе о прекращении обработки ПД, их уточнении, блокировки или уничтожении) оператор ПД должен предоставить ответ в течение 10 рабочих дней. Этот срок может быть увеличен на 5 рабочих дней при мотивированном уведомлении Роскомнадзора или субъекта ПД.
- Нововведение о сокращении оснований, позволявших операторам обрабатывать ПД без уведомления Роскомнадзора, осталась без изменений. Другими словами, теперь в подавляющем большинстве случаев для обработки ПД оператору требуется уведомить Роскомнадзор.
- Также изменилось регулирование биометрических ПД: теперь любые лица независимо от возраста могут не предоставлять свои биометрические ПД для обработки, за исключением случаев, когда такая обработка является обязательной по закону.
- NEW! Изменены требования к содержанию политики обработки ПД: теперь категории и перечень обрабатываемых ПД, категории субъектов, ПД которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения ПД должны быть указаны отдельно для каждой цели обработки ПД.
- NEW! Были добавлены положения, вносящие изменения в Закон «О защите прав потребителей» и добавляющие обязанность по предустановке на мобильные устройства Единого магазина приложений.
После подписания федерального закона Президентом РФ большая часть положений вступит в силу 1 сентября 2022 года, за исключением следующих:
- новые требования к уведомлениям о трансграничной передаче ПД;
- положения о взаимодействии операторов ПД с системой ГосСОПКА;
- положения, касающиеся изменения порядка предоставления информации из ЕГРН;
- положения, обязывающие операторов ПД действовать в соответствии с дополнительными правилами, еще не разработанными Роскомнадзором,
которые вступят в силу с 1 марта 2023 года.
Данный обзор подготовили: старший юрист корпоративной практики Capital Legal Services Вадим Ковалёв, юристы практики интеллектуальной собственности Capital Legal Services Антонина Шишанова и Виктор Калужский.