Top.Mail.Ru
Навигатор тем:
Войти или зарегистрироваться
Навигатор тем:
  1. Главная
  2. Юридический навигатор
  3. Взаимоотношения с государственными органами

Защита персональных данных: новые требования, обязанности и сроки

0
Журнал «Юридический справочник руководителя» № 9 / 2022
Александр Бычков
директор юридического департамента ООО «Пимпэй Касса»
Защита персональных данных в текущих событиях имеет приоритетное значение. Поэтому в спешном порядке были подготовлены и приняты поправки в закон о персданных, которые вступили в силу с 01.09.2022. У работодателей появились новые обязанности, законодатели сократили ряд сроков, ввели очередные запреты для операторов персданных. Анализируем новшества и рассказываем, на что обратить внимание работодателям, операторам персданных и рядовым гражданам.

Большинство норм Федерального закона от 14.07.2022 № 266‑ФЗ «О внесении изменений в Федеральный закон “О персональных данных”, отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона “О банках и банковской деятельности”» вступили в силу с сентября 2022 года. Однако некоторые положения начнут действовать лишь с марта 2023 года (какие именно, расскажем ниже).

Цель поправок – усиление защиты субъектов персональных данных и обеспечение неприкосновенности их частной жизни. Дело в том, что в последнее время появилось множество сервисов в Интернете, которые незаконно собирают, хранят и распространяют персональную информацию о гражданах, включая паспортные данные, сведения о недвижимости, перелетах и иные личные сведения. В частности, деанонимизация, влекущая раскрытие персональных данных военнослужащих и их семей, создает непосредственную угрозу их жизни и безопасности в текущих непростых условиях.

Более того, нелегальные сервисы, как правило, расположены за пределами РФ и потому не подпадают под ее юрисдикцию. Трансграничная передача персданных нашими законами практически не регулируется, а осуществляется большим количеством операторов повсеместно и в больших масштабах.

Рассмотрим подробнее, какие меры ввело государство для защиты персональных данных и что это значит для работодателей, операторов персданных и рядовых граждан.

Связанный материал
Роскомнадзор придет с профилактическим визитом
№ 01 / 2023
Связанный материал
Как удалить информацию о себе из Интернета
№ 02 / 2023

Изменения в Законе о персданных

По новым правилам нормы Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных» (далее – ​Закон № 125‑ФЗ) следует применять в том числе и к обработке персданных граждан РФ, осуществляемой иностранными юридическими и физическими лицами как по договору, так и на основании согласия гражданина на эту обработку. Другими словами – ​независимо от конкретного вида обработки данных. Если обработку данных им будет поручать российский оператор, то он будет нести ответственность за их действия наравне с ними (ч. 1.1 и 6 ст. 1 Закона № 152‑ФЗ).

Теперь с Роскомнадзором должны быть согласованы все нормативные правовые акты РФ, затрагивающие вопросы:

  • трансграничной передачи персональных данных;
  • обработки специальных категорий данных (например, состояние здоровья человека);
  • биометрических данных;
  • персональных данных несовершеннолетних лиц;
  • а также вопросы предоставления и распространения персональных данных, полученных в результате обезличивания.

У ведомства по закону будет 30 дней на согласование проекта документа.

Связанный материал
Когда и зачем нужно обезличивать персональные данные
№ 09 / 2019

См. статью «Когда и зачем нужно обезличивать персональные данные» в № 9’ 2019

Связанный материал
Как правильно составить согласие на обработку персональных данных
№ 02 / 2024

Новые запреты

В договор с субъектом персональных данных нельзя включать следующие условия (п. 5 ч. 1 ст. 6 Закона № 152‑ФЗ):

  • ограничивающие его права и свободы. Например, на отзыв согласия на обработку персданных или соблюдение дополнительных условий для такого отзыва, включая значительный срок, за который нужно подать уведомление оператору;
  • устанавливающие случаи обработки персданных несовершеннолетних лиц, если иное не предусмотрено законодательством РФ;
  • допускающее в качестве условия заключения договора бездействие субъекта персональных данных. Скажем, у оператора может возникнуть соблазн не получать отдельное согласие от гражданина, а включить условие о заранее данном согласии в оферту, к которой тот присоединяется в целом, оговорив, что, если он не согласен с таким условием, он должен проставить соответствующее обозначение. Раньше в договорах банковского вклада некоторые банки нередко включали условие, что при несогласии вкладчика с обработкой его персональных данных, включая биометрические, он должен прямо об этом в договоре написать, в ином случае согласие считается полученным. Теперь так делать нельзя.

Связанный материал
Какие документы запросит Роскомнадзор на проверке по персданным
№ 04 / 2024

Поручение по обработке персданных

Новая редакция ч. 3 ст. 6 Закона № 152‑ФЗ более детально регламентирует вопросы поручения оператором обработки персданных субъектов иным лицам, в том числе государственным и муниципальным органам власти. Лицо, которому поручается обработка, должно обеспечить базовые принципы обработки данных, их конфиденциальность, принимать меры к выполнению всех своих обязанностей.

В самом поручении на обработку нужно определить:

  • перечень данных,
  • перечень действий по их обработке,
  • цели и иные обязательные требования;
  • право оператора и корреспондирующую обязанность лица, которому поручается обработка, предоставлять документы и информацию, подтверждающие выполнение обязательных требований.

Естественно, оператору не стоит ограничиваться только поручением, а рекомендуется заключить договор и оформить соответствующие отношения как обязательства, включив в него в том числе штрафы за нарушения в соответствии со ст. 330 ГК РФ.

Также на случай нарушения контрагентом условий договора можно предусмотреть, что он в качестве имущественных потерь возместит все суммы штрафов, компенсаций и иных расходов и других убытков, которые возникнут в связи с предъявлением требований со стороны субъектов персональных данных и контролирующих органов (ст. 406.1 ГК РФ). Такое договорное условие позволит вашей организации как оператору персданных создать источник возмещения за счет контрагента-нарушителя, учитывая, что от рисков неправильных действий (бездействия) в отношении персданных сейчас никто не застрахован.

Связанный материал
Какие аргументы помогут в суде для снятия требования неустойки в полном объеме
№ 02 / 2020

См. статью «Какие аргументы помогут в суде для снятия требования неустойки в полном объеме» в № 2’ 2020
Связанный материал
Какие аргументы помогут в суде для уменьшения неустойки
№ 03 / 2020

См. статью «Какие аргументы помогут в суде для уменьшения неустойки» в № 3’ 2020

К кому требования о распространении персданных не относятся

Требования ст. 10.1 Закона № 152‑ФЗ об особенностях обработки перс­данных путем распространения теперь не будут касаться не только государственных и муниципальных органов, но и подведомственных им организаций (ч. 15 указанной статьи).

Связанный материал
Согласие на распространение персональных данных
№ 07 / 2021

См. статью «Согласие на распространение персональных данных» в № 7’ 2021

Поправка логична, учитывая, что не все свои властные полномочия и функции органы власти осуществляют самостоятельно. Для этих целей они создают и используют подведомственные организации. В ином же случае деятельность органов власти была бы существенно затруднена дополнительными формальностями, связанными с необходимостью получения согласия от субъекта персональных данных и организацией этого процесса.

Биометрические персданные

Согласно новой ч. 3 ст. 11 Закона № 152‑ФЗ, получение биометрических персональных данных обязательным не является. Подобное уточнение совсем не лишнее, учитывая, что банки и иные профессиональные участники рынка их собирают (достаточно вспомнить, как при открытии счета в банке клиентов фотографируют), но при этом многие из них, к сожалению, так и не научились должным образом их защищать (в новостях информация о масштабных «сливах» персданных появляется чуть ли не еженедельно).

Поэтому граждане теперь могут отказываться предоставлять биометрические данные. А организация будет не вправе на этом основании отказать в заключении договора. Такой отказ будет считаться незаконным1.

Трансграничная передача персданных

С 01.03.2023 ст. 12 Закона № 152‑ФЗ о трансграничной передаче персональных данных начнет действовать в новой редакции. По новым правилам придется ориентироваться на перечень иностранных государств, которые обеспечивают адекватную защиту прав субъектов персональных данных, такой перечень будет формировать и вести Роскомнадзор.

Кроме того, до начала трансграничной передачи данных о своем намерении это делать нужно будет уведомить Роскомнадзор. Если какие-то организации осуществляют трансграничную передачу уже сейчас, такое уведомление им необходимо направить в ведомство до 01.03.2023. Уведомление придется подавать отдельным документом, а не вместе с общим уведомлением о намерении осуществлять обработку персональных данных. Это сделано для того, чтобы вовремя вмешаться и предотвратить возможные нарушения прав субъектов персональных данных. Очевидно, что в большом потоке входящей информации Роскомнадзор не сможет оперативно выявлять нужные уведомления.

Наиболее сложным нововведением является требование к оператору до подачи уведомления получить от органов власти иностранных государств, иностранных физических или юридических лиц сведения:

  • о принимаемых мерах по защите прав субъектов персональных данных;
  • правовом регулировании персданных в иностранном государстве;
  • об органах власти иностранного государства, иностранных юридических и физических лицах, которым будут передаваться данные.

Причем Роскомнадзор может принять отказное решение, запрещающее трансграничную передачу данных, в целях защиты основ конституционного строя, безопасности жизни и здоровья граждан, а также в иных значимых целях. На принятие решения чиновникам дается 10 рабочих дней (с момента поступления уведомления). При положительном решении регулятора оператор может осуществлять трансграничную передачу перс­данных на тех территориях и в том объеме, которые указаны в решении Роскомнадзора. Вполне очевидно, что до принятия соответствующего решения оператор этим заниматься не вправе, поскольку с марта начинает действовать разрешительный, а не уведомительный порядок.

Взаимодействие с ГосСОПКА

На оператора теперь возложена обязанность обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА)2, включая информирование о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных (ч. 12 ст. 19 Закона № 152‑ФЗ).

Порядок такого взаимодействия будет определен органом власти, уполномоченным в сфере обеспечения безопасности (видимо, имеется в виду МВД РФ). Такая мера позволяет повысить гарантии информационной безопасности нашей страны в целом за счет эффективной и слаженной защиты всех ее информационных элементов на самых различных уровнях, а также позволяет более плотно вовлечь операторов в юридически значимые для органов власти процессы. Раз оператор как предприниматель зарабатывает в нашей стране, в том числе на использовании персональной информации граждан, он должен более ответственно, а не формально подходить и к вопросам ее защиты. Более того, он сам непосредственно участвует в обработке персональных данных, поэтому может и обязан незамедлительно сигнализировать о возможных нарушениях и инцидентах, а не делать вид, что они его не касаются.

Новые сроки

Оператору персональных данных стоит иметь в виду, что с 1 сентября сокращаются с 30 до 10 рабочих дней сроки некоторых действий (ч. 1, 2, 4 ст. 20 Закона № 152‑ФЗ). Так, оператору в этот период необходимо:

  • ответить на обращение субъекта персональных данных по поводу того, обрабатывает он его данные или нет, и если да, то предоставить к ним доступ;
  • дать мотивированный ответ об отказе предоставить информацию о наличии обрабатываемых персданных;
  • сообщить Роскомнадзору необходимые сведения по его запросу.

Кроме того, у оператора появились новые обязанности по уведомлению Роскомнадзора (ч. 3.1 ст. 21 Закона № 152‑ФЗ). При выявлении случаев неправомерной или случайной передачи персданных оператор обязан:

1) в течение 24 часов с момента обнаружения такого нарушения уведомить ведомство об инциденте, его причинах, предполагаемом вреде субъекту персданных, принятых мерах, уполномоченном лице, которое от имени оператора взаимодействует с ведомством;

2) в течение 72 часов сообщить ведомству о результатах внутреннего расследования, а также направить сведения о лицах, действия которых стали причиной инцидента.

При обращении субъекта персданных к оператору с требованием прекратить их обработку последний обязан это сделать в течение 10 рабочих дней. Этот срок может быть продлен, но не более чем на 5 рабочих дней, при этом придется направить гражданину мотивированное уведомление с указанием причин такой меры (ч. 5.1 ст. 21 Закон № 152‑ФЗ). Невыполнение данных требований будет свидетельствовать о нарушении закона со стороны оператора, в связи с чем Роскомнадзор может его привлечь к административной ответственности по ст. 13.11 КоАП РФ.

Изменения в законодательстве о госрегистрации недвижимости и нотариате

Теперь рассмотрим правки, внесенные в Федеральный закон от 13.07.2015 № 218‑ФЗ «О государственной регистрации недвижимости» (далее – ​Закон № 218‑ФЗ) и Основы законодательства Российской Федерации о нотариате (утв. ВС РФ 11.02.1993 № 4462-1), связанные с персональными данными граждан.

Доступ к ЕГРН

С 01.03.2023 по новым правилам, установленным ст. 36.3 Закона № 218‑ФЗ, персональные данные, содержащиеся в ЕГРН, могут быть предоставлены третьим лицам только с согласия физического лица – ​субъекта таких данных. Для этого в ЕГРН вносится соответствующая запись на основании заявления гражданина, за которым в ЕГРН зарегистрировано право, ограничение прав или обременение на объект недвижимости, а также при внесении соответствующей отметки в заявление о государственной регистрации права.

В отсутствие указанной записи сведения из ЕГРН могут быть предоставлены только по запросу нотариуса, действующего на основании письменного заявления заинтересованного лица в целях защиты его прав и законных интересов.

Сложно пока представить, зачем это нужно правообладателю, если только он не собственник нежилого здания, в котором он всем сдает регулярно помещения в аренду, хотя и здесь лучше адресно давать нужную информацию только заинтересованным потенциальным клиентам, а не обеспечить доступность данных всем желающим.

Заметим, что открытые данные давно возмущали чиновников и депутатов, ведь в прессе регулярно писали об их новых объектах недвижимости. Теперь эта информация стала закрытой.

Новые функции нотариусов

В связи с этим с 01.03.2023 расширены права нотариусов на направление запросов в Росреестр для получения персданных владельцев недвижимости из ЕГРН, с оформлением полученных сведений в виде свидетельства, которое за плату выдается заявителю (ст. 85.1 Основ законодательства РФ о нотариате).

Для получения такой услуги заявитель должен обосновать нотариусу причины и представить документ, в том числе основной договор или предварительный договор между заявителем и собственником недвижимости, подтверждающий их намерение совершить сделку купли-продажи или иного отчуждения объекта недвижимости. Например, на практике обычно при покупке квартиры или земельного участка с жилым домом стороны заключают предварительный договор или соглашение об авансе, где фиксируют все свои договоренности о будущей сделке.

Заявитель может и сам получить сведения из ЕГРН, обратившись в МФЦ за бумажным документом или через сервисы Росреестра, что гораздо проще. Это быстрее и удобнее, однако там будут сведения про сам объект недвижимости и Ф.И.О. владельца. Обращение к нотариусу позволит получить более расширенные сведения, и такое нововведение имеет важное практическое значение с точки зрения безопасности участников гражданского оборота, планирующих покупку недвижимого имущества.

Связанный материал
Проверяем коммерческую недвижимость перед покупкой
№ 11 / 2020

См. статью «Проверяем коммерческую недвижимость перед покупкой» в № 11’ 2020

Кстати, покупка недвижимости вовсе не единственный случай, когда заявителю потребуются такие сведения. Например, лучше получить свидетельство у нотариуса, если заявитель намерен обратиться в суд за возмещением причиненного ущерба его личности или имуществу, когда для возмещения такого ущерба необходимы сведения об объекте недвижимости и о его правообладателе.

Так, если правообладатель устроил пожар или залив, и заявитель с ним будет вынужден судиться, а речь при этом идет о довольно значительной сумме, важно обеспечить исковые требования в суде, заявив ходатайство о наложении ареста на активы должника в пределах суммы исковых требований. Можно получить и общую выписку из ЕГРН, но свидетельство от нотариуса подойдет гораздо лучше, поскольку судья в нем увидит исчерпывающие сведения, представляющие интерес для дела.

Объект недвижимости может виндицироваться у правообладателя, либо может обсуждаться вопрос об обращении на него взыскания по его долгам в соответствии с законом. В таких случаях получение с помощью нотариуса исчерпывающей и максимально полной информации о правообладателе имеет существенное значение для оперативного судебного разбирательства. Это, с одной стороны, расширяет правовые возможности самих участников гражданского оборота, а с другой – ​снижает нагрузку на судейский корпус. Ведь суды будут избавлены от необходимости совершения излишних процессуальных действий.

Сноски 2

  1. См. также информацию на сайте Минцифры России (https://digital.gov.ru/ru/events/41802/). Вернуться назад
  2. См. ст. 5 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Вернуться назад
Оценить статью
0 Коментариев
s
В избранное
Версия для печати
Отправить по почте

Выбери свой вариант доступа

Получать бесплатные
статьи на e-mail
Подписаться на
журнал на почте
Подписаться на
журнал сейчас
доступ
к Базе знаний

Читайте все накопления сайта по своему профилю, начиная с 2010 г.
Для этого оформите комплексную подписку на выбранный журнал на полугодие или год, тогда:

  • его свежий номер будет ежемесячно приходить к вам по почте в печатном виде;
  • все публикации на сайте этого направления начиная с 2010 г. будут доступны в течение действия комплексной подписки.

А удобный поиск и другая навигация на сайте помогут вам быстро находить ответы на свои рабочие вопросы. Повышайте свой профессионализм, статус и зарплату с нашей помощью!

доступ
к Базе знаний

Для того, чтобы оставить комментарий, необходимо авторизоваться

Комментарии 0

Рекомендовано для вас

Какие документы запросит Роскомнадзор на проверке по персданным

Юридический навигатор
№ 04 / 2024
Взаимоотношения с государственными органами

Штрафы за неправильную обработку персональных данных растут, ответственность постоянно ужесточается (планируется введение уголовной). А это значит, что пора тщательно проверить, все ли документы в компании, касающиеся персданных, оформлены правильно. Автор подробно разъясняет, какие документы должны быть в наличии для успешного прохождения проверки соблюдения законодательства о персональных данных и как их составить, чтобы избежать гигантских штрафов.

Юлия Жижерина
юрист по трудовому праву
Татьяна Снежкина
юрист по трудовому праву

Как правильно составить согласие на обработку персональных данных

Юридический навигатор
№ 02 / 2024
Трудовое законодательство

С декабря 2023 года штрафы за обработку персональных данных без согласия субъекта или с неверно составленным согласием выросли до 700 000 рублей. А за год до этого изменились и требования к самим согласиям на обработку персональных данных. Рассказываем, какие согласия и в каких случаях необходимо составлять, почему лучше оформлять разные согласия на обработку персданных, а не включать все в одно, приводим образцы согласий для наиболее типичных ситуаций, даем советы по оптимизации документооборота.

Екатерина Краецкая
частнопрактикующий юрист

Типичные ошибки в работе с персональными данными

Юридический навигатор
№ 03 / 2024
В фокусе

Изменение законодательства в сфере персональных данных и огромные штрафы за нарушения стимулируют еще раз проверить, все ли с персданными в организации в порядке. Автор выделяет 5 ошибок, которые чаще всего допускают организации в этой области.

Елена Кожемякина
управляющий партнер юридической компании BLS

Что можно скрыть при раскрытии отчетности

Юридический навигатор
№ 06 / 2023
Взаимоотношения с государственными органами

Федеральные стандарты позволяют раскрывать информацию об отчетности в ограниченном объеме, а контролирующие органы соглашаются ограничить доступ к ней на государственном информационном ресурсе бухгалтерской (финансовой) отчетности (bo.nalog.ru). Объясняем, что можно скрыть от пользователей отчетности и как это сделать законно. Приводим наглядную таблицу о том, как можно сократить пояснения к отчетности; образцы документов: приказа об ограничении раскрытия информации, заявления в Минфин России о предоставлении выписки из перечня подпадающих под ограничительные меры лиц, заявления в ИФНС России о сокрытии информации, содержащейся в ГИРБО.

Анастасия Дегтяренко
эксперт по бухгалтерскому учету и налогообложению

Какие аргументы помогут в суде для снятия требования неустойки в полном объеме

Юридический навигатор
№ 02 / 2020
Юридическая ответственность

Со взысканием неустойки может столкнуться каждая организация, причем как в качестве кредитора-взыскателя, так и должника. Последнее особенно неприятно, когда требования о неустойке необоснованны и несоразмерны допущенному нарушению. Однако закон и судебная практика содержат механизмы защиты против злоупотреблений подобными требованиями, и об этом стоит знать не только должникам, но и кредиторам. Поговорим о двух основных аргументах, которые можно привести против требований кредитора по неустойке, – ​когда для ее выплаты нет оснований и когда ее размер несоразмерен допущенному нарушению, вследствие чего кредитор может получить необоснованную выгоду. В этом номере приведем аргументы, которые убеждали суд в отсутствии оснований для взыскания неустойки.

Сергей Слесарев
частнопрактикующий юрист, эксперт Экспертного центра «Общественная Дума»

Какие документы запросит Роскомнадзор на проверке по персданным

Юридический навигатор
№ 04 / 2024
Взаимоотношения с государственными органами

Штрафы за неправильную обработку персональных данных растут, ответственность постоянно ужесточается (планируется введение уголовной). А это значит, что пора тщательно проверить, все ли документы в компании, касающиеся персданных, оформлены правильно. Автор подробно разъясняет, какие документы должны быть в наличии для успешного прохождения проверки соблюдения законодательства о персональных данных и как их составить, чтобы избежать гигантских штрафов.

Юлия Жижерина
юрист по трудовому праву
Татьяна Снежкина
юрист по трудовому праву

Какие аргументы помогут в суде для уменьшения неустойки

Юридический навигатор
№ 03 / 2020
Юридическая ответственность

В первой части статьи мы рассмотрели аргументы, которые позволят убедить суд в отсутствии оснований для взыскания неустойки. Однако не всегда это возможно, и тогда остается лишь шанс на уменьшение ее размера. Проанализируем судебную практику, отметив, какие условия должны быть соблюдены, чтобы должник мог требовать снижения размера неустойки. Расскажем, что необходимо включить в ходатайство об уменьшении неустойки, что в принципе может сыграть на руку должнику, обращающемуся к суду с просьбой снизить неустойку. А также поделимся информацией, какие обстоятельства суд не убедят. В статье приведена судебная практика как в пользу должников, так и кредиторов, поэтому полезна всем участникам гражданских правоотношений.

Сергей Слесарев
частнопрактикующий юрист, эксперт Экспертного центра «Общественная Дума»

Что относится к персональным данным: судебная практика

Юридический навигатор
№ 10 / 2020
Бизнес-кейс

Одним из наиболее непростых практических вопросов, связанных с обработкой персональных данных, является перечень информации, которая может быть к ним отнесена. Дело в том, что перечень этих данных открытый и определять, относятся ли какие-то сведения к персональной информации конкретного лица необходимо индивидуально. Например, будут ли персональными данными фамилия и имя человека, дата и место рождения, паспортные данные, ИНН и пр. в отдельных ситуациях. Обратимся для ответов на эти вопросы к судебной практике.

Александр Бычков
директор юридического департамента ООО «Пимпэй Касса»