Защита персональных данных: новая порция изменений

Большинство норм Федерального закона от 14.07.2022 № 266‑ФЗ «О внесении изменений... ¹» вступили в силу с сентября 2022 года. Однако некоторые положения начнут действовать лишь с марта 2023 года (какие именно, отметим ниже). Данная порция изменений касается:

• обработки персональных данных в целом (в основном в профильном законе) и
• доступа к сведениям о владельцах недвижимости в ЕГРН.

Цель поправок – усиление защиты персональных данных людей, неприкосновенности их частной жизни.

Дело в том, что в последнее время появилось множество сервисов в Интернете, которые незаконно собирают, хранят и распространяют персональную информацию, включая паспортные данные, сведения о недвижимости, перелетах и иные личные сведения. В частности, деанонимизация, влекущая раскрытие персональных данных военнослужащих и их семей, создает непосредственную угрозу их жизни и безопасности в текущих условиях.

Более того, нелегальные сервисы, как правило, расположены за пределами РФ и потому не подпадают под нашу юрисдикцию. Трансграничная передача персданных российскими законами практически не регулировалась, при этом она осуществляется большим количеством операторов повсеместно и в больших масштабах.

Изменения в Законе о персданных

По новым правилам нормы Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных» (далее – ​Закон № 125‑ФЗ) следует применять в том числе и к обработке персданных граждан РФ, осуществляемой иностранными юридическими и физическими лицами как по договору, так и на основании согласия гражданина на эту обработку (другими словами – ​независимо от конкретного вида обработки данных). Если обработку данных им будет поручать российский оператор, то он будет нести ответственность за их действия наравне с ними (ч. 1.1 и 6 ст. 1 Закона № 152‑ФЗ).

Новые запреты

В договор с субъектом персональных данных нельзя включать условия (п. 5 ч. 1 ст. 6 Закона № 152‑ФЗ):

• ограничивающие его права и свободы. Например, запрещать отзыв согласия на обработку персданных, ставить дополнительные условия для такого отзыва (в т.ч. устанавливать значительный срок, за который нужно подать уведомление оператору);
• об обработке персданных несовершеннолетних (если иное специально не предусмотрено законодательством РФ);
• когда согласие человека на обработку его персданных считается автоматически полученным даже при его бездействии.
  Скажем, у организации (оператора) может возникнуть соблазн не получать отдельное согласие у человека, а включить условие о заранее данном согласии в оферту (типовой договор), к которой тот присоединяется в целом, оговорив, что, если он не согласен с таким условием, то должен проставить соответствующее обозначение. Таким образом бездействие человека автоматически считается дачей согласия на обработку его персданных.
  Раньше в договорах банковского вклада некоторые банки нередко включали условие, что при несогласии вкладчика с обработкой его персональных данных, включая биометрические, он должен прямо об этом в договоре написать, в ином случае согласие считается полученным. Теперь так делать нельзя!

Поручение по обработке персданных

Новая редакция ч. 3 ст. 6 Закона № 152‑ФЗ более детально регламентирует вопросы поручения оператором обработки персданных субъектов иным лицам. В самом поручении на обработку нужно определить:

• перечень данных;
• перечень действий по их обработке;
• цели и иные обязательные требования;
• право оператора и корреспондирующую обязанность лица, которому...