8
Продолжаем тему по изменениям в законодательстве (часть 1) по защите персональных данных.
3. С 1 сентября 2022 года изменились с 30 до 10 рабочих дней сроки некоторых действий. В соответствии с ч. 1, 2, 4 ст. 20 Закона № 152-ФЗ Оператору ПДн в эти сроки необходимо:
– ответить на обращение субъекта ПДн по поводу того, обрабатывает ли Оператор его ПДн или нет, и если да, то предоставить к ним доступ;
– дать мотивированный ответ об отказе предоставить информацию о наличии обрабатываемых ПДн;
– передавать в Роскомнадзор по его запросу сведения.
4. С 1 сентября вступает в силу запрет Оператору отказывать гражданам в оказании услуг, в случае, если они не желают предоставлять биометрию и это не является обязательным требованием. Согласно ст. 11 Закона о ПДн к биометрическим данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (например, отпечатки пальцев).
5. Изменения, которые коснулись Согласия на обработку ПДн.
В соответствии с изменениями, внесенными в Закон о ПДн (часть 1 ст. 9 Закона о ПДн), Согласие на обработку ПДн должны быть предметными и однозначными, а не только конкретными, информированными и сознательными. Это требование касается тех Согласий, которыми сотрудники разрешают представлять их ПДн конкретному лицу или лицам.
Важно: требования к шаблонам Согласия, которые сотрудники подписывают при приеме на работу, остались прежними. В этом Согласии указывают только те цели, которые перечислены в статье 86 Трудового Кодекса (ТК).
В соответствии с изменениями ст.10.1. Закона о ПДн добавилось еще одно Согласие, “Согласие на обработку ПДн, разрешенных субъектом ПДн для распространения, оформляется отдельно от иных согласий субъекта ПДн на обработку его ПДн”. Оператор использует только форму, которая утверждена Роскомнадзор в соответствии с Приказом Роскомнадзор от 24.02.2021 № 18 “Об утверждении требований к содержанию согласия на обработку ПДн, разрешенных субъектом ПДн для распространения” (Ссылка на Приказ).
Необходимо отметить, что в соответствии с частью 6 ст.10.1 «Молчание или бездействие субъекта ПДн» ни при каких обстоятельствах не может считаться Согласием на обработку ПДн, разрешенных субъектом ПДн для распространения. Например, если организация планирует разместить на сайте фото с ФИО лучшего сотрудника, обязательно для этого необходимо взять отдельное Согласие этого сотрудника.
Требования статьи 10.1 Закона о ПДн не применяются в случае обработки ПДн в целях выполнения возложенных законодательством Российской Федерации на государственные органы, муниципальные органы, а также на подведомственные таким органам организации функций, полномочий и обязанностей.
6. Изменения, которые затронули Политику обработки ПДн.
В соответствии с п.2 ч.1, ч.2 ст. 18.1 Федерального закона о ПДн установлены требования к содержанию политики Оператора.
Применительно к каждой цели обработки ПДн Оператор должен указать:
– категории субъектов, данные которых обрабатываются;
– способы, сроки их обработки и хранения;
– порядок уничтожения ПДн при достижении целей их обработки.
Также меняются и правила публикации Политики обработки ПДн. Она должна быть размещена не только на сайте, а так же должен быть обеспечен доступ к Политике на каждой странице, посредством которых осуществляется сбор ПДн.
Поговорим о Приказах Роскомнадзор, которые вносят изменения в обработку ПДн с 1 марта 2023 года. Всего их 5, ранее уже был упомянут Приказ Роскомнадзор от 28.10.2022 № 180, который утвердил новую форму Уведомления о намерении осуществлять обработку ПДн.
1. Второй Приказ Роскомнадзор от 05.08.2022 № 128 “Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн”, в соответствии с ч. 2 ст. 12 ФЗ-152 Роскомнадзором утвердил перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн.
В данный список вошли государства, которые являются сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн, а также иностранные государства, не являющиеся сторонами Конвенции, при условии соответствия норм права и применяемых мер по защите ПДн.
В настоящее время в список включено 89 стран (55 – стороны Конвенции, 34 – не стороны Конвенции). Добавлены такие страны, как КНР, Индия.
Приказ вступает в силу с 1 марта 2023 г. С 1 марта 2023 года Оператор до начала деятельности по трансграничной передаче ПДн обязан уведомить Роскомнадзор о своем намерении и получить у Роскомнадзор разрешение. Уведомление направляют в виде документа на бумажном носителе или в форме электронного документа отдельно от Уведомления о намерении осуществлять обработку ПДн. Роскомнадзор, в свою очередь, может запретить или ограничить предоставление персональной информации в другие страны (ст.12 Закона о ПДн).
Важное замечание: Операторы, которые уже осуществляют трансграничную передачу ПДн, должны уведомить об этом Роскомнадзор до 1 марта 2023 года (ч.5 ст.6 266-ФЗ).
2. Третий Приказ РКН от 28.10.2022 № 178 “Об утверждении Требований по оценке вреда”, который может быть причинен субъектам ПДн в случае нарушения Федерального Закона о ПДн. Данным Приказом определен порядок определения вреда.
В соответствии с п. 5 ч. 1 ст. 18.1 ФЗ-152 операторы обязаны проводить оценку вреда в соответствии с установленными уполномоченным органом требованиями, Приказ определяет случаи обработки ПДн, обладающих признаками высокого, среднего, низкого риска нарушения прав граждан как субъектов ПДн.
Оператор определяет одну из степеней вреда:
1. высокая – Оператор обрабатывает информацию специальной категории ПДн, биометрию, или о несовершеннолетних, например, чтобы исполнять договоры, по которым они контрагенты, “выгодоприобретатели”, либо поручители;
2. средняя – Оператор продвигает товары, работы и услуги через прямые контакты с потенциальными потребителями с помощью хранилищ (баз ПДн) другого лица;
3. низкая – Оператор назначил ответственным за обработку ПДн внештатного сотрудника.
Если гражданину могут причинить вред разных степеней, необходимо учитывать более высокую из них. Вред оценивает ответственный за организацию обработки ПДн либо комиссия, которую создал Оператор. Результаты оценки вреда оформляются актом оценки вреда.
Проверка соблюдения обязательного требования проводится территориальными управлениями Роскомнадзор в рамках проведения проверок.
Вступает в силу с 1 марта 2023 г. и действует до 1 марта 2029 г.
Продолжение тут.