Top.Mail.Ru

Защита персональных данных: новые требования, обязанности и сроки

Защита персональных данных в текущих событиях имеет приоритетное значение. Поэтому в спешном порядке были подготовлены и приняты поправки в закон о персданных, которые вступили в силу с 01.09.2022. У работодателей появились новые обязанности, законодатели сократили ряд сроков, ввели очередные запреты для операторов персданных. Анализируем новшества и рассказываем, на что обратить внимание работодателям, операторам персданных и рядовым гражданам.

Большинство норм Федерального закона от 14.07.2022 № 266‑ФЗ «О внесении изменений в Федеральный закон “О персональных данных”, отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона “О банках и банковской деятельности”» вступили в силу с сентября 2022 года. Однако некоторые положения начнут действовать лишь с марта 2023 года (какие именно, расскажем ниже).

Цель поправок – усиление защиты субъектов персональных данных и обеспечение неприкосновенности их частной жизни. Дело в том, что в последнее время появилось множество сервисов в Интернете, которые незаконно собирают, хранят и распространяют персональную информацию о гражданах, включая паспортные данные, сведения о недвижимости, перелетах и иные личные сведения. В частности, деанонимизация, влекущая раскрытие персональных данных военнослужащих и их семей, создает непосредственную угрозу их жизни и безопасности в текущих непростых условиях.

Более того, нелегальные сервисы, как правило, расположены за пределами РФ и потому не подпадают под ее юрисдикцию. Трансграничная передача персданных нашими законами практически не регулируется, а осуществляется большим количеством операторов повсеместно и в больших масштабах.

Рассмотрим подробнее, какие меры ввело государство для защиты персональных данных и что это значит для работодателей, операторов персданных и рядовых граждан.

Изменения в Законе о персданных

По новым правилам нормы Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных» (далее – ​Закон № 125‑ФЗ) следует применять в том числе и к обработке персданных граждан РФ, осуществляемой иностранными юридическими и физическими лицами как по договору, так и на основании согласия гражданина на эту обработку. Другими словами – ​независимо от конкретного вида обработки данных. Если обработку данных им будет поручать российский оператор, то он будет нести ответственность за их действия наравне с ними (ч. 1.1 и 6 ст. 1 Закона № 152‑ФЗ).

Теперь с Роскомнадзором должны быть согласованы все нормативные правовые акты РФ, затрагивающие вопросы:

  • трансграничной передачи персональных данных;
  • обработки специальных категорий данных (например, состояние здоровья человека);
  • биометрических данных;
  • персональных данных несовершеннолетних лиц;
  • а также вопросы предоставления и распространения персональных данных, полученных в результате обезличивания.

У ведомства по закону будет 30 дней на согласование проекта документа.

Новые запреты

В договор с субъектом персональных данных нельзя включать следующие условия (п. 5 ч. 1 ст. 6 Закона № 152‑ФЗ):

  • ограничивающие его права и свободы. Например, на отзыв согласия на обработку персданных или соблюдение дополнительных условий для такого отзыва, включая значительный срок, за который нужно подать уведомление оператору;
  • устанавливающие случаи обработки персданных несовершеннолетних лиц, если иное не предусмотрено законодательством РФ;
  • допускающее в качестве условия заключения договора бездействие субъекта персональных данных. Скажем, у оператора может возникнуть соблазн не получать отдельное согласие от гражданина, а включить условие о заранее данном согласии в оферту, к которой тот присоединяется в целом, оговорив, что, если он не согласен с таким условием, он должен проставить соответствующее обозначение. Раньше в договорах банковского вклада некоторые банки нередко включали условие, что при несогласии вкладчика с обработкой его персональных данных, включая биометрические, он должен прямо об этом в договоре написать, в ином случае согласие считается полученным. Теперь так делать нельзя.

Поручение по обработке персданных

Новая редакция ч. 3 ст. 6 Закона № 152‑ФЗ более детально регламентирует вопросы поручения оператором обработки персданных субъектов иным лицам, в том числе государственным и муниципальным органам власти. Лицо, которому поручается обработка, должно обеспечить базовые принципы обработки данных, их конфиденциальность, принимать меры к выполнению всех своих обязанностей.

В самом поручении на обработку нужно определить:

  • перечень данных,
  • перечень действий по их обработке,
  • цели и иные обязательные требования;
  • право оператора и корреспондирующую обязанность лица, которому поручается обработка, предоставлять документы и информацию, подтверждающие выполнение обязательных требований.

Естественно, оператору не стоит ограничиваться только поручением, а рекомендуется заключить договор и оформить соответствующие отношения как обязательства, включив в него в том числе штрафы за нарушения в соответствии со ст. 330 ГК РФ.

Также на случай нарушения контрагентом условий договора можно предусмотреть, что он в качестве имущественных потерь возместит все суммы штрафов, компенсаций и иных расходов и других убытков, которые возникнут в связи с предъявлением требований со стороны субъектов персональных данных и контролирующих органов (ст. 406.1 ГК РФ). Такое договорное условие позволит вашей организации как оператору персданных создать источник возмещения за счет контрагента-нарушителя, учитывая, что от рисков неправильных действий (бездействия) в отношении персданных сейчас никто не застрахован.

К кому требования о распространении персданных не относятся

Требования ст. 10.1 Закона № 152‑ФЗ об особенностях обработки перс­данных путем распространения теперь не будут касаться не только государственных и муниципальных органов, но и подведомственных им организаций (ч. 15 указанной статьи).

Поправка логична, учитывая, что не все свои властные полномочия и функции органы власти осуществляют самостоятельно. Для этих целей они создают и используют подведомственные организации. В ином же случае деятельность органов власти была бы существенно затруднена дополнительными формальностями, связанными с необходимостью получения согласия от субъекта персональных данных и организацией этого процесса.

Биометрические персданные

Согласно новой ч. 3 ст. 11 Закона № 152‑ФЗ, получение биометрических персональных данных обязательным не является. Подобное уточнение совсем не лишнее, учитывая, что банки и иные профессиональные участники рынка их собирают (достаточно вспомнить, как при открытии счета в банке клиентов фотографируют), но при этом многие из них, к сожалению, так и не научились должным образом их защищать (в новостях информация о масштабных «сливах» персданных появляется чуть ли не еженедельно).

Поэтому граждане теперь могут отказываться предоставлять биометрические данные. А организация будет не вправе на этом основании отказать в заключении договора. Такой отказ будет считаться незаконным1.

Трансграничная передача персданных

С 01.03.2023 ст. 12 Закона № 152‑ФЗ о трансграничной передаче персональных данных начнет действовать в новой редакции. По новым правилам придется ориентироваться на перечень иностранных государств, которые обеспечивают адекватную защиту прав субъектов персональных данных, такой перечень будет формировать и вести Роскомнадзор.

Кроме того, до начала трансграничной передачи данных о своем намерении это делать нужно будет уведомить Роскомнадзор. Если какие-то организации осуществляют трансграничную передачу уже сейчас, такое уведомление им необходимо направить в ведомство до 01.03.2023. Уведомление придется подавать отдельным документом, а не вместе с общим уведомлением о намерении осуществлять обработку персональных данных. Это сделано для того, чтобы вовремя вмешаться и предотвратить возможные нарушения прав субъектов персональных данных. Очевидно, что в большом потоке входящей информации Роскомнадзор не сможет оперативно выявлять нужные уведомления.

Наиболее сложным нововведением является требование к оператору до подачи уведомления получить от органов власти иностранных государств, иностранных физических или юридических лиц сведения:

  • о принимаемых мерах по защите прав субъектов персональных данных;
  • правовом регулировании персданных в иностранном государстве;
  • об органах власти иностранного государства, иностранных юридических и физических лицах, которым будут передаваться данные.

Причем Роскомнадзор может принять отказное решение, запрещающее трансграничную передачу данных, в целях защиты основ конституционного строя, безопасности жизни и здоровья граждан, а также в иных значимых целях. На принятие решения чиновникам дается 10 рабочих дней (с момента поступления уведомления). При положительном решении регулятора оператор может осуществлять трансграничную передачу перс­данных на тех территориях и в том объеме, которые указаны в решении Роскомнадзора. Вполне очевидно, что до принятия соответствующего решения оператор этим заниматься не вправе, поскольку с марта начинает действовать разрешительный, а не уведомительный порядок.

Взаимодействие с ГосСОПКА

На оператора теперь возложена обязанность обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА)2, включая информирование о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных (ч. 12 ст. 19 Закона № 152‑ФЗ).

Порядок такого взаимодействия будет определен органом власти, уполномоченным в сфере обеспечения безопасности (видимо, имеется в виду МВД РФ). Такая мера позволяет повысить гарантии информационной безопасности нашей страны в целом за счет эффективной и слаженной защиты всех ее информационных элементов на самых различных уровнях, а также позволяет более плотно вовлечь операторов в юридически значимые для органов власти процессы. Раз оператор как предприниматель зарабатывает в нашей стране, в том числе на использовании персональной информации граждан, он должен более ответственно, а не формально подходить и к вопросам ее защиты. Более того, он сам непосредственно участвует в обработке персональных данных, поэтому может и обязан незамедлительно сигнализировать о возможных нарушениях и инцидентах, а не делать вид, что они его не касаются.

Новые сроки

Оператору персональных данных стоит иметь в виду, что с 1 сентября сокращаются с 30 до 10 рабочих дней сроки некоторых действий (ч. 1, 2, 4 ст. 20 Закона № 152‑ФЗ). Так, оператору в этот период необходимо:

  • ответить на обращение субъекта персональных данных по поводу того, обрабатывает он его данные или нет, и если да, то предоставить к ним доступ;
  • дать мотивированный ответ об отказе предоставить информацию о наличии обрабатываемых персданных;
  • сообщить Роскомнадзору необходимые сведения по его запросу.

Кроме того, у оператора появились новые обязанности по уведомлению Роскомнадзора (ч. 3.1 ст. 21 Закона № 152‑ФЗ). При выявлении случаев неправомерной или случайной передачи персданных оператор обязан:

1) в течение 24 часов с момента обнаружения такого нарушения уведомить ведомство об инциденте, его причинах, предполагаемом вреде субъекту персданных, принятых мерах, уполномоченном лице, которое от имени оператора взаимодействует с ведомством;

2) в течение 72 часов сообщить ведомству о результатах внутреннего расследования, а также направить сведения о лицах, действия которых стали причиной инцидента.

При обращении субъекта персданных к оператору с требованием прекратить их обработку последний обязан это сделать в течение 10 рабочих дней. Этот срок может быть продлен, но не более чем на 5 рабочих дней, при этом придется направить гражданину мотивированное уведомление с указанием причин такой меры (ч. 5.1 ст. 21 Закон № 152‑ФЗ). Невыполнение данных требований будет свидетельствовать о нарушении закона со стороны оператора, в связи с чем Роскомнадзор может его привлечь к административной ответственности по ст. 13.11 КоАП РФ.

Изменения в законодательстве о госрегистрации недвижимости и нотариате

Теперь рассмотрим правки, внесенные в Федеральный закон от 13.07.2015 № 218‑ФЗ «О государственной регистрации недвижимости» (далее – ​Закон № 218‑ФЗ) и Основы законодательства Российской Федерации о нотариате (утв. ВС РФ 11.02.1993 № 4462-1), связанные с персональными данными граждан.

Доступ к ЕГРН

С 01.03.2023 по новым правилам, установленным ст. 36.3 Закона № 218‑ФЗ, персональные данные, содержащиеся в ЕГРН, могут быть предоставлены третьим лицам только с согласия физического лица – ​субъекта таких данных. Для этого в ЕГРН вносится соответствующая запись на основании заявления гражданина, за которым в ЕГРН зарегистрировано право, ограничение прав или обременение на объект недвижимости, а также при внесении соответствующей отметки в заявление о государственной регистрации права.

В отсутствие указанной записи сведения из ЕГРН могут быть предоставлены только по запросу нотариуса, действующего на основании письменного заявления заинтересованного лица в целях защиты его прав и законных интересов.

Сложно пока представить, зачем это нужно правообладателю, если только он не собственник нежилого здания, в котором он всем сдает регулярно помещения в аренду, хотя и здесь лучше адресно давать нужную информацию только заинтересованным потенциальным клиентам, а не обеспечить доступность данных всем желающим.

Заметим, что открытые данные давно возмущали чиновников и депутатов, ведь в прессе регулярно писали об их новых объектах недвижимости. Теперь эта информация стала закрытой.

Новые функции нотариусов

В связи с этим с 01.03.2023 расширены права нотариусов на направление запросов в Росреестр для получения персданных владельцев недвижимости из ЕГРН, с оформлением полученных сведений в виде свидетельства, которое за плату выдается заявителю (ст. 85.1 Основ законодательства РФ о нотариате).

Для получения такой услуги заявитель должен обосновать нотариусу причины и представить документ, в том числе основной договор или предварительный договор между заявителем и собственником недвижимости, подтверждающий их намерение совершить сделку купли-продажи или иного отчуждения объекта недвижимости. Например, на практике обычно при покупке квартиры или земельного участка с жилым домом стороны заключают предварительный договор или соглашение об авансе, где фиксируют все свои договоренности о будущей сделке.

Заявитель может и сам получить сведения из ЕГРН, обратившись в МФЦ за бумажным документом или через сервисы Росреестра, что гораздо проще. Это быстрее и удобнее, однако там будут сведения про сам объект недвижимости и Ф.И.О. владельца. Обращение к нотариусу позволит получить более расширенные сведения, и такое нововведение имеет важное практическое значение с точки зрения безопасности участников гражданского оборота, планирующих покупку недвижимого имущества.

Кстати, покупка недвижимости вовсе не единственный случай, когда заявителю потребуются такие сведения. Например, лучше получить свидетельство у нотариуса, если заявитель намерен обратиться в суд за возмещением причиненного ущерба его личности или имуществу, когда для возмещения такого ущерба необходимы сведения об объекте недвижимости и о его правообладателе.

Так, если правообладатель устроил пожар или залив, и заявитель с ним будет вынужден судиться, а речь при этом идет о довольно значительной сумме, важно обеспечить исковые требования в суде, заявив ходатайство о наложении ареста на активы должника в пределах суммы исковых требований. Можно получить и общую выписку из ЕГРН, но свидетельство от нотариуса подойдет гораздо лучше, поскольку судья в нем увидит исчерпывающие сведения, представляющие интерес для дела.

Объект недвижимости может виндицироваться у правообладателя, либо может обсуждаться вопрос об обращении на него взыскания по его долгам в соответствии с законом. В таких случаях получение с помощью нотариуса исчерпывающей и максимально полной информации о правообладателе имеет существенное значение для оперативного судебного разбирательства. Это, с одной стороны, расширяет правовые возможности самих участников гражданского оборота, а с другой – ​снижает нагрузку на судейский корпус. Ведь суды будут избавлены от необходимости совершения излишних процессуальных действий.

Сноски 2

  1. См. также информацию на сайте Минцифры России (https://digital.gov.ru/ru/events/41802/). Вернуться назад
  2. См. ст. 5 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Вернуться назад
Оценить статью
s
В избранное

Выбери свой вариант доступа

Получать бесплатные
статьи на e-mail
Подписаться на
журнал на почте
Подписаться на
журнал сейчас

Читайте все накопления сайта по своему профилю, начиная с 2010 г.
Для этого оформите комплексную подписку на выбранный журнал на полугодие или год, тогда:

  • его свежий номер будет ежемесячно приходить к вам по почте в печатном виде;
  • все публикации на сайте этого направления начиная с 2010 г. будут доступны в течение действия комплексной подписки.

А удобный поиск и другая навигация на сайте помогут вам быстро находить ответы на свои рабочие вопросы. Повышайте свой профессионализм, статус и зарплату с нашей помощью!

Для того, чтобы оставить комментарий, необходимо авторизоваться

Комментарии 0

Рекомендовано для вас

Работа с персональными данными. Отвечаем на вопросы

22.05.2024 журнал «Юридический справочник руководителя» и сайт delo-press.ru провели онлайн-семинар «Работа с персональными данными без ошибок». Во время семинара спикер – эксперт по трудовым отношениям Юлия Жижерина – отвечала на вопросы слушателей семинара. Мы собрали наиболее интересные в статью, дополнив ссылками на нормативную базу и расширенную аргументацию. Публикуем разбор следующих ситуаций: что делать, если сотрудник продолжает работать, но отзывает свое согласие на обработку персданных; сколько целей обработки персданных можно указать в одном согласии; требуется ли согласие работника на обработку персональных данных, если камеры установлены только в коридорах; какое согласие на обработку персданных нужно запросить с работника для запроса о нем данных в учебном заведении; каких сотрудников надо указывать в приказе, утверждающем перечень лиц, имеющих доступ к персданным; можно ли прописать в ЛНА места хранения и обработки персданных; нужно ли согласие работника для добавления его в общий чат мессенджера и пр.

Как правильно уничтожать персональные данные

С прошлого года стало недостаточно просто уничтожить документы с персональными данными. Надо следовать специальной процедуре, составив акт об их уничтожении. Рассказываем, каков порядок уничтожения личных сведений, когда и в какие сроки это необходимо сделать, какой штраф полагается за нарушение требований закона. Приводим образцы документов (приказ о создании постоянно действующей комиссии по уничтожению документов с персональными данными, акт об уничтожении персданных, уведомление работника об уничтожении неправомерно использованных персональных данных) и формулировки для ЛНА о порядке уничтожения персданных, договора с контрагентом об обязательстве уничтожить передаваемые по договору персональные данные.

Получение согласия на обработку персданных работника-курьера

Выясняем, как обрабатывать персональные данные курьеров, чтобы не нарушить нормы действующего законодательства. Узнаете, какие данные и когда становятся персональными, а когда не позволяют идентифицировать человека; как оформить передачу персданных курьера третьим лицам (физическим и юридическим), когда согласие на передачу личной информации не требуется; какая ответственность грозит за нарушение закона; как минимизировать риски при передаче персданных сотрудника. Вы сможете воспользоваться готовым образцом согласия на обработку персональных данных, разрешенных субъектом для распространения, который приведен в статье.

Какие документы запросит Роскомнадзор на проверке по персданным

Штрафы за неправильную обработку персональных данных растут, ответственность постоянно ужесточается (планируется введение уголовной). А это значит, что пора тщательно проверить, все ли документы в компании, касающиеся персданных, оформлены правильно. Автор подробно разъясняет, какие документы должны быть в наличии для успешного прохождения проверки соблюдения законодательства о персональных данных и как их составить, чтобы избежать гигантских штрафов.

Какие аргументы помогут в суде для снятия требования неустойки в полном объеме

Со взысканием неустойки может столкнуться каждая организация, причем как в качестве кредитора-взыскателя, так и должника. Последнее особенно неприятно, когда требования о неустойке необоснованны и несоразмерны допущенному нарушению. Однако закон и судебная практика содержат механизмы защиты против злоупотреблений подобными требованиями, и об этом стоит знать не только должникам, но и кредиторам. Поговорим о двух основных аргументах, которые можно привести против требований кредитора по неустойке, – ​когда для ее выплаты нет оснований и когда ее размер несоразмерен допущенному нарушению, вследствие чего кредитор может получить необоснованную выгоду. В этом номере приведем аргументы, которые убеждали суд в отсутствии оснований для взыскания неустойки.

Какие документы запросит Роскомнадзор на проверке по персданным

Штрафы за неправильную обработку персональных данных растут, ответственность постоянно ужесточается (планируется введение уголовной). А это значит, что пора тщательно проверить, все ли документы в компании, касающиеся персданных, оформлены правильно. Автор подробно разъясняет, какие документы должны быть в наличии для успешного прохождения проверки соблюдения законодательства о персональных данных и как их составить, чтобы избежать гигантских штрафов.

Какие аргументы помогут в суде для уменьшения неустойки

В первой части статьи мы рассмотрели аргументы, которые позволят убедить суд в отсутствии оснований для взыскания неустойки. Однако не всегда это возможно, и тогда остается лишь шанс на уменьшение ее размера. Проанализируем судебную практику, отметив, какие условия должны быть соблюдены, чтобы должник мог требовать снижения размера неустойки. Расскажем, что необходимо включить в ходатайство об уменьшении неустойки, что в принципе может сыграть на руку должнику, обращающемуся к суду с просьбой снизить неустойку. А также поделимся информацией, какие обстоятельства суд не убедят. В статье приведена судебная практика как в пользу должников, так и кредиторов, поэтому полезна всем участникам гражданских правоотношений.

Как правильно уничтожать персональные данные

С прошлого года стало недостаточно просто уничтожить документы с персональными данными. Надо следовать специальной процедуре, составив акт об их уничтожении. Рассказываем, каков порядок уничтожения личных сведений, когда и в какие сроки это необходимо сделать, какой штраф полагается за нарушение требований закона. Приводим образцы документов (приказ о создании постоянно действующей комиссии по уничтожению документов с персональными данными, акт об уничтожении персданных, уведомление работника об уничтожении неправомерно использованных персональных данных) и формулировки для ЛНА о порядке уничтожения персданных, договора с контрагентом об обязательстве уничтожить передаваемые по договору персональные данные.