Top.Mail.Ru

Защита персональных данных: новые требования, обязанности и сроки

Защита персональных данных в текущих событиях имеет приоритетное значение. Поэтому в спешном порядке были подготовлены и приняты поправки в закон о персданных, которые вступили в силу с 01.09.2022. У работодателей появились новые обязанности, законодатели сократили ряд сроков, ввели очередные запреты для операторов персданных. Анализируем новшества и рассказываем, на что обратить внимание работодателям, операторам персданных и рядовым гражданам.

Большинство норм Федерального закона от 14.07.2022 № 266‑ФЗ «О внесении изменений в Федеральный закон “О персональных данных”, отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона “О банках и банковской деятельности”» вступили в силу с сентября 2022 года. Однако некоторые положения начнут действовать лишь с марта 2023 года (какие именно, расскажем ниже).

Цель поправок – усиление защиты субъектов персональных данных и обеспечение неприкосновенности их частной жизни. Дело в том, что в последнее время появилось множество сервисов в Интернете, которые незаконно собирают, хранят и распространяют персональную информацию о гражданах, включая паспортные данные, сведения о недвижимости, перелетах и иные личные сведения. В частности, деанонимизация, влекущая раскрытие персональных данных военнослужащих и их семей, создает непосредственную угрозу их жизни и безопасности в текущих непростых условиях.

Более того, нелегальные сервисы, как правило, расположены за пределами РФ и потому не подпадают под ее юрисдикцию. Трансграничная передача персданных нашими законами практически не регулируется, а осуществляется большим количеством операторов повсеместно и в больших масштабах.

Рассмотрим подробнее, какие меры ввело государство для защиты персональных данных и что это значит для работодателей, операторов персданных и рядовых граждан.

Изменения в Законе о персданных

По новым правилам нормы Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных» (далее – ​Закон № 125‑ФЗ) следует применять в том числе и к обработке персданных граждан РФ, осуществляемой иностранными юридическими и физическими лицами как по договору, так и на основании согласия гражданина на эту обработку. Другими словами – ​независимо от конкретного вида обработки данных. Если обработку данных им будет поручать российский оператор, то он будет нести ответственность за их действия наравне с ними (ч. 1.1 и 6 ст. 1 Закона № 152‑ФЗ).

Теперь с Роскомнадзором должны быть согласованы все нормативные правовые акты РФ, затрагивающие вопросы:

  • трансграничной передачи персональных данных;
  • обработки специальных категорий данных (например, состояние здоровья человека);
  • биометрических данных;
  • персональных данных несовершеннолетних лиц;
  • а также вопросы предоставления и распространения персональных данных, полученных в результате обезличивания.

У ведомства по закону будет 30 дней на согласование проекта документа.

Новые запреты

В договор с субъектом персональных данных нельзя включать следующие условия (п. 5 ч. 1 ст. 6 Закона № 152‑ФЗ):

  • ограничивающие его права и свободы. Например, на отзыв согласия на обработку персданных или соблюдение дополнительных условий для такого отзыва, включая значительный срок, за который нужно подать уведомление оператору;
  • устанавливающие случаи обработки персданных несовершеннолетних лиц, если иное не предусмотрено законодательством РФ;
  • допускающее в качестве условия заключения договора бездействие субъекта персональных данных. Скажем, у оператора может возникнуть соблазн не получать отдельное согласие от гражданина, а включить условие о заранее данном согласии в оферту, к которой тот присоединяется в целом, оговорив, что, если он не согласен с таким условием, он должен проставить соответствующее обозначение. Раньше в договорах банковского вклада некоторые банки нередко включали условие, что при несогласии вкладчика с обработкой его персональных данных, включая биометрические, он должен прямо об этом в договоре написать, в ином случае согласие считается полученным. Теперь так делать нельзя.

Поручение по обработке персданных

Новая редакция ч. 3 ст. 6 Закона № 152‑ФЗ более детально регламентирует вопросы поручения оператором обработки персданных субъектов иным лицам, в том числе государственным и муниципальным органам власти. Лицо, которому поручается обработка, должно обеспечить базовые принципы обработки данных, их конфиденциальность, принимать меры к выполнению всех своих обязанностей.

В самом поручении на обработку нужно определить:

  • перечень данных,
  • перечень действий по их обработке,
  • цели и иные обязательные требования;
  • право оператора и корреспондирующую обязанность лица, которому поручается обработка, предоставлять документы и информацию, подтверждающие выполнение обязательных требований.

Естественно, оператору не стоит ограничиваться только поручением, а рекомендуется заключить договор и оформить соответствующие отношения как обязательства, включив в него в том числе штрафы за нарушения в соответствии со ст. 330 ГК РФ.

Также на случай нарушения контрагентом условий договора можно предусмотреть, что он в качестве имущественных потерь возместит все суммы штрафов, компенсаций и иных расходов и других убытков, которые возникнут в связи с предъявлением требований со стороны субъектов персональных данных и контролирующих органов (ст. 406.1 ГК РФ). Такое договорное условие позволит вашей организации как оператору персданных создать источник возмещения за счет контрагента-нарушителя, учитывая, что от рисков неправильных действий (бездействия) в отношении персданных сейчас никто не застрахован.

К кому требования о распространении персданных не относятся

Требования ст. 10.1 Закона № 152‑ФЗ об особенностях обработки перс­данных путем распространения теперь не будут касаться не только государственных и муниципальных органов, но и подведомственных им организаций (ч. 15 указанной статьи).

Поправка логична, учитывая, что не все свои властные полномочия и функции органы власти осуществляют самостоятельно. Для этих целей они создают и используют подведомственные организации. В ином же случае деятельность органов власти была бы существенно затруднена дополнительными формальностями, связанными с необходимостью получения согласия от субъекта персональных данных и организацией этого процесса.

Биометрические персданные

Согласно новой ч. 3 ст. 11 Закона № 152‑ФЗ, получение биометрических персональных данных обязательным не является. Подобное уточнение совсем не лишнее, учитывая, что банки и иные профессиональные участники рынка их собирают (достаточно вспомнить, как при открытии счета в банке клиентов фотографируют), но при этом многие из них, к сожалению, так и не научились должным образом их защищать (в новостях информация о масштабных «сливах» персданных появляется чуть ли не еженедельно).

Поэтому граждане теперь могут отказываться предоставлять биометрические данные. А организация будет не вправе на этом основании отказать в заключении договора. Такой отказ будет считаться незаконным1.

Трансграничная передача персданных

С 01.03.2023 ст. 12 Закона № 152‑ФЗ о трансграничной передаче персональных данных начнет действовать в новой редакции. По новым правилам придется ориентироваться на перечень иностранных государств, которые обеспечивают адекватную защиту прав субъектов персональных данных, такой перечень будет формировать и вести Роскомнадзор.

Кроме того, до начала трансграничной передачи данных о своем намерении это делать нужно будет уведомить Роскомнадзор. Если какие-то организации осуществляют трансграничную передачу уже сейчас, такое уведомление им необходимо направить в ведомство до 01.03.2023. Уведомление придется подавать отдельным документом, а не вместе с общим уведомлением о намерении осуществлять обработку персональных данных. Это сделано для того, чтобы вовремя вмешаться и предотвратить возможные нарушения прав субъектов персональных данных. Очевидно, что в большом потоке входящей информации Роскомнадзор не сможет оперативно выявлять нужные уведомления.

Наиболее сложным нововведением является требование к оператору до подачи уведомления получить от органов власти иностранных государств, иностранных физических или юридических лиц сведения:

  • о принимаемых мерах по защите прав субъектов персональных данных;
  • правовом регулировании персданных в иностранном государстве;
  • об органах власти иностранного государства, иностранных юридических и физических лицах, которым будут передаваться данные.

Причем Роскомнадзор может принять отказное решение, запрещающее трансграничную передачу данных, в целях защиты основ конституционного строя, безопасности жизни и здоровья граждан, а также в иных значимых целях. На принятие решения чиновникам дается 10 рабочих дней (с момента поступления уведомления). При положительном решении регулятора оператор может осуществлять трансграничную передачу перс­данных на тех территориях и в том объеме, которые указаны в решении Роскомнадзора. Вполне очевидно, что до принятия соответствующего решения оператор этим заниматься не вправе, поскольку с марта начинает действовать разрешительный, а не уведомительный порядок.

Взаимодействие с ГосСОПКА

На оператора теперь возложена обязанность обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА)2, включая информирование о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных (ч. 12 ст. 19 Закона № 152‑ФЗ).

Порядок такого взаимодействия будет определен органом власти, уполномоченным в сфере обеспечения безопасности (видимо, имеется в виду МВД РФ). Такая мера позволяет повысить гарантии информационной безопасности нашей страны в целом за счет эффективной и слаженной защиты всех ее информационных элементов на самых различных уровнях, а также позволяет более плотно вовлечь операторов в юридически значимые для органов власти процессы. Раз оператор как предприниматель зарабатывает в нашей стране, в том числе на использовании персональной информации граждан, он должен более ответственно, а не формально подходить и к вопросам ее защиты. Более того, он сам непосредственно участвует в обработке персональных данных, поэтому может и обязан незамедлительно сигнализировать о возможных нарушениях и инцидентах, а не делать вид, что они его не касаются.

Новые сроки

Оператору персональных данных стоит иметь в виду, что с 1 сентября сокращаются с 30 до 10 рабочих дней сроки некоторых действий (ч. 1, 2, 4 ст. 20 Закона № 152‑ФЗ). Так, оператору в этот период необходимо:

  • ответить на обращение субъекта персональных данных по поводу того, обрабатывает он его данные или нет, и если да, то предоставить к ним доступ;
  • дать мотивированный ответ об отказе предоставить информацию о наличии обрабатываемых персданных;
  • сообщить Роскомнадзору необходимые сведения по его запросу.

Кроме того, у оператора появились новые обязанности по уведомлению Роскомнадзора (ч. 3.1 ст. 21 Закона № 152‑ФЗ). При выявлении случаев неправомерной или случайной передачи персданных оператор обязан:

1) в течение 24 часов с момента обнаружения такого нарушения уведомить ведомство об инциденте, его причинах, предполагаемом вреде субъекту персданных, принятых мерах, уполномоченном лице, которое от имени оператора взаимодействует с ведомством;

2) в течение 72 часов сообщить ведомству о результатах внутреннего расследования, а также направить сведения о лицах, действия которых стали причиной инцидента.

При обращении субъекта персданных к оператору с требованием прекратить их обработку последний обязан это сделать в течение 10 рабочих дней. Этот срок может быть продлен, но не более чем на 5 рабочих дней, при этом придется направить гражданину мотивированное уведомление с указанием причин такой меры (ч. 5.1 ст. 21 Закон № 152‑ФЗ). Невыполнение данных требований будет свидетельствовать о нарушении закона со стороны оператора, в связи с чем Роскомнадзор может его привлечь к административной ответственности по ст. 13.11 КоАП РФ.

Изменения в законодательстве о госрегистрации недвижимости и нотариате

Теперь рассмотрим правки, внесенные в Федеральный закон от 13.07.2015 № 218‑ФЗ «О государственной регистрации недвижимости» (далее – ​Закон № 218‑ФЗ) и Основы законодательства Российской Федерации о нотариате (утв. ВС РФ 11.02.1993 № 4462-1), связанные с персональными данными граждан.

Доступ к ЕГРН

С 01.03.2023 по новым правилам, установленным ст. 36.3 Закона № 218‑ФЗ, персональные данные, содержащиеся в ЕГРН, могут быть предоставлены третьим лицам только с согласия физического лица – ​субъекта таких данных. Для этого в ЕГРН вносится соответствующая запись на основании заявления гражданина, за которым в ЕГРН зарегистрировано право, ограничение прав или обременение на объект недвижимости, а также при внесении соответствующей отметки в заявление о государственной регистрации права.

В отсутствие указанной записи сведения из ЕГРН могут быть предоставлены только по запросу нотариуса, действующего на основании письменного заявления заинтересованного лица в целях защиты его прав и законных интересов.

Сложно пока представить, зачем это нужно правообладателю, если только он не собственник нежилого здания, в котором он всем сдает регулярно помещения в аренду, хотя и здесь лучше адресно давать нужную информацию только заинтересованным потенциальным клиентам, а не обеспечить доступность данных всем желающим.

Заметим, что открытые данные давно возмущали чиновников и депутатов, ведь в прессе регулярно писали об их новых объектах недвижимости. Теперь эта информация стала закрытой.

Новые функции нотариусов

В связи с этим с 01.03.2023 расширены права нотариусов на направление запросов в Росреестр для получения персданных владельцев недвижимости из ЕГРН, с оформлением полученных сведений в виде свидетельства, которое за плату выдается заявителю (ст. 85.1 Основ законодательства РФ о нотариате).

Для получения такой услуги заявитель должен обосновать нотариусу причины и представить документ, в том числе основной договор или предварительный договор между заявителем и собственником недвижимости, подтверждающий их намерение совершить сделку купли-продажи или иного отчуждения объекта недвижимости. Например, на практике обычно при покупке квартиры или земельного участка с жилым домом стороны заключают предварительный договор или соглашение об авансе, где фиксируют все свои договоренности о будущей сделке.

Заявитель может и сам получить сведения из ЕГРН, обратившись в МФЦ за бумажным документом или через сервисы Росреестра, что гораздо проще. Это быстрее и удобнее, однако там будут сведения про сам объект недвижимости и Ф.И.О. владельца. Обращение к нотариусу позволит получить более расширенные сведения, и такое нововведение имеет важное практическое значение с точки зрения безопасности участников гражданского оборота, планирующих покупку недвижимого имущества.

Кстати, покупка недвижимости вовсе не единственный случай, когда заявителю потребуются такие сведения. Например, лучше получить свидетельство у нотариуса, если заявитель намерен обратиться в суд за возмещением причиненного ущерба его личности или имуществу, когда для возмещения такого ущерба необходимы сведения об объекте недвижимости и о его правообладателе.

Так, если правообладатель устроил пожар или залив, и заявитель с ним будет вынужден судиться, а речь при этом идет о довольно значительной сумме, важно обеспечить исковые требования в суде, заявив ходатайство о наложении ареста на активы должника в пределах суммы исковых требований. Можно получить и общую выписку из ЕГРН, но свидетельство от нотариуса подойдет гораздо лучше, поскольку судья в нем увидит исчерпывающие сведения, представляющие интерес для дела.

Объект недвижимости может виндицироваться у правообладателя, либо может обсуждаться вопрос об обращении на него взыскания по его долгам в соответствии с законом. В таких случаях получение с помощью нотариуса исчерпывающей и максимально полной информации о правообладателе имеет существенное значение для оперативного судебного разбирательства. Это, с одной стороны, расширяет правовые возможности самих участников гражданского оборота, а с другой – ​снижает нагрузку на судейский корпус. Ведь суды будут избавлены от необходимости совершения излишних процессуальных действий.

Сноски 2

  1. См. также информацию на сайте Минцифры России (https://digital.gov.ru/ru/events/41802/). Вернуться назад
  2. См. ст. 5 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Вернуться назад
Оценить статью
s
В избранное

Выбери свой вариант доступа

Получать бесплатные
статьи на e-mail
Подписаться на
журнал на почте
Подписаться на
журнал сейчас

Читайте все накопления сайта по своему профилю, начиная с 2010 г.
Для этого оформите комплексную подписку на выбранный журнал на полугодие или год, тогда:

  • его свежий номер будет ежемесячно приходить к вам по почте в печатном виде;
  • все публикации на сайте этого направления начиная с 2010 г. будут доступны в течение действия комплексной подписки.

А удобный поиск и другая навигация на сайте помогут вам быстро находить ответы на свои рабочие вопросы. Повышайте свой профессионализм, статус и зарплату с нашей помощью!

Внимание – подписка 2023!
Скидка октября уже действует. Успейте ее получить!

Для того, чтобы оставить комментарий, необходимо авторизоваться

Комментарии 0

Рекомендовано для вас

Реклама в Интернете. Как и о чем уведомлять Роскомнадзор

Государство решило усилить контроль за интернет-рекламой. В законодательство внесли изменения, из-за которых с сентября 2022 года за рекламу в Интернете придется отчитываться перед Роскомнадзором. Разбираемся, какие именно данные государство хочет аккумулировать, а также кто и в каком порядке должен передавать информацию в ведомство. Узнаете, есть ли ответственность за нарушение новых требований.

Согласие на распространение персональных данных

В марте 2021 года вступили в силу изменения, связанные с использованием персональных данных граждан путем их распространения среди неопределенного круга лиц. Нововведения касаются в т.ч. и работодателей, которые так или иначе раскрывают персональные данные работников для неограниченного круга. Например, размещая краткую информацию о своих сотрудниках в интернете на корпоративном сайте или на доске информации в офисе. Новые правила требуют более внимательного и ответственного отношения со стороны компаний, которые в своей деятельности используют персональную информацию, защищаемую законом. Читайте обо всех ключевых изменениях, а также используйте в работе приведенные в статье образцы согласия на обработку персональных данных, разрешенных для распространения, и его отзыва.

Персональные данные потребителя: новые правила

В условиях глобализации мировой экономики и проникновения Интернета во все сферы жизни особое значение приобретает защита персональных данных. Доверяя государству и бизнесу свою персональную информацию, человек получает более удобный и качественный сервис, а также комфортную коммуникацию. Однако повсеместное и избыточное собирание персональной информации чревато серьезными рисками (незаконная передача персональных данных субъекта третьему лицу, их обработка в противоречии с заявленными целями или с превышением допустимых пределов, хищение и др.). В связи с этим были приняты изменения, направленные на защиту персональных данных потребителей, в т. ч. от их необоснованного сбора, которые вступят в силу в сентябре 2022 года. Рассказываем о новеллах, ведь многие их них коммерсантам нужно учесть в работе уже сейчас. А потребителям будет интересно узнать, на что они могут рассчитывать по новым правилам в случае нарушения их прав, какие возможности для них несут поправки.

Как получить согласие на обработку персональных данных: анализ практики судов

Рассказываем, когда и кому требуется получить согласие об обработке персданных, каким оно должно быть, можно ли его включать в текст иных документов. Какие условия обработки персданных необходимо соблюсти, как должно быть подписано согласие. Наша подборка судебной практики поможет избежать ошибок в оформлении документов и избежать привлечения к ответственности.

Какие аргументы помогут в суде для снятия требования неустойки в полном объеме

Со взысканием неустойки может столкнуться каждая организация, причем как в качестве кредитора-взыскателя, так и должника. Последнее особенно неприятно, когда требования о неустойке необоснованны и несоразмерны допущенному нарушению. Однако закон и судебная практика содержат механизмы защиты против злоупотреблений подобными требованиями, и об этом стоит знать не только должникам, но и кредиторам. Поговорим о двух основных аргументах, которые можно привести против требований кредитора по неустойке, – ​когда для ее выплаты нет оснований и когда ее размер несоразмерен допущенному нарушению, вследствие чего кредитор может получить необоснованную выгоду. В этом номере приведем аргументы, которые убеждали суд в отсутствии оснований для взыскания неустойки.

Что относится к персональным данным: судебная практика

Одним из наиболее непростых практических вопросов, связанных с обработкой персональных данных, является перечень информации, которая может быть к ним отнесена. Дело в том, что перечень этих данных открытый и определять, относятся ли какие-то сведения к персональной информации конкретного лица необходимо индивидуально. Например, будут ли персональными данными фамилия и имя человека, дата и место рождения, паспортные данные, ИНН и пр. в отдельных ситуациях. Обратимся для ответов на эти вопросы к судебной практике.

Какие аргументы помогут в суде для уменьшения неустойки

В первой части статьи мы рассмотрели аргументы, которые позволят убедить суд в отсутствии оснований для взыскания неустойки. Однако не всегда это возможно, и тогда остается лишь шанс на уменьшение ее размера. Проанализируем судебную практику, отметив, какие условия должны быть соблюдены, чтобы должник мог требовать снижения размера неустойки. Расскажем, что необходимо включить в ходатайство об уменьшении неустойки, что в принципе может сыграть на руку должнику, обращающемуся к суду с просьбой снизить неустойку. А также поделимся информацией, какие обстоятельства суд не убедят. В статье приведена судебная практика как в пользу должников, так и кредиторов, поэтому полезна всем участникам гражданских правоотношений.

Реклама в Интернете. Как и о чем уведомлять Роскомнадзор

Государство решило усилить контроль за интернет-рекламой. В законодательство внесли изменения, из-за которых с сентября 2022 года за рекламу в Интернете придется отчитываться перед Роскомнадзором. Разбираемся, какие именно данные государство хочет аккумулировать, а также кто и в каком порядке должен передавать информацию в ведомство. Узнаете, есть ли ответственность за нарушение новых требований.