О персональных данных. Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 14.07.2022)
РОССИЙСКАЯ ФЕДЕРАЦИЯ
ФЕДЕРАЛЬНЫЙ ЗАКОН
О ПЕРСОНАЛЬНЫХ ДАННЫХ
Принят
Государственной Думой
8 июля 2006 года
Одобрен
Советом Федерации
14 июля 2006 года
Глава 1. ОБЩИЕ ПОЛОЖЕНИЯ |
Статья 1. Сфера действия настоящего Федерального закона |
Статья 2. Цель настоящего Федерального закона |
Статья 3. Основные понятия, используемые в настоящем Федеральном законе |
Статья 4. Законодательство Российской Федерации в области персональных данных |
Глава 2. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ |
Статья 5. |
Статья 6. Условия обработки персональных данных |
Статья 7. Конфиденциальность персональных данных |
Статья 8. Общедоступные источники персональных данных |
Статья 9. Согласие субъекта персональных данных на обработку его персональных данных |
Статья 10. Специальные категории персональных данных |
Статья 10.1. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения |
Статья 11. Биометрические персональные данные |
Статья 12. Трансграничная передача персональных данных |
Статья 13. |
Глава 3. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ |
Статья 14. Право субъекта персональных данных на доступ к его персональным данным |
Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации |
Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных |
Статья 17. Право на обжалование действий или бездействия оператора |
Глава 4. |
Статья 18. Обязанности оператора при сборе персональных данных |
Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом |
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке |
Статья 20. Обязанности оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных |
Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных |
Статья 22. |
Статья 22.1. Лица, ответственные за организацию обработки персональных данных в организациях |
Глава 5. ФЕДЕРАЛЬНЫЙ ГОСУДАРСТВЕННЫЙ КОНТРОЛЬ (НАДЗОР) ЗА ОБРАБОТКОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ НАСТОЯЩЕГО ФЕДЕРАЛЬНОГО ЗАКОНА |
Статья 23. Уполномоченный орган по защите прав субъектов персональных данных |
Статья 23.1. Федеральный государственный контроль (надзор) за обработкой персональных данных |
Статья 24. Ответственность за нарушение требований настоящего Федерального закона |
Глава 6. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ |
Статья 25. |
Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных
ОБЯЗАННОСТИ ОПЕРАТОРА
Уведомление об обработке персональных данных
Заключительные положенияЗадайте вопрос юристу:
+7 (499) 703-46-71 — для жителей Москвы и Московской области
+7 (812) 309-95-68 — для жителей Санкт-Петербурга и Ленинградской области
Тотальные изменения 152-ФЗ О персональных данных / Хабр
1 сентября 2022 года вступают в силу поправки в 152-ФЗ О персональных данных. Изменения внесены Федеральным законом от 14.07.2022 N 266-ФЗ и носят самый масштабный характер с 2011 года. Можно сказать, что уже с сентября существенным образом будут изменены требования к обработке персональных данных как сотрудников, так и иных лиц. При этом данные изменения касаются практически всех лиц, работающих с персональными данными.
1. Наиболее важным уточнением является требование подачи с 01.09.2022 г. уведомления в Роскомнадзор об обработке персональных данных. В старой редакции закона была масса исключений, которые позволяли этого не делать.
Основами поводами работы без «регистрации» в РКН были обработка ПДн сотрудников или в связи с заключением и исполнением договоров. Однако с сентября практически все исключения утратили силу.
Из числа актуальных остались только случаи неавтоматизированной обработки ПДн (т.е. при непосредственном участии человека при использовании, уточнении, распространении, уничтожении персональных данных в отношении каждого из субъектов персональных данных).
Таким образом, ранее работавшая связка Пользовательское соглашение – Политика конфиденциальности, служившая основанием для обработки ПДН в целях заключения и исполнения договора, с 01 сентября 2022 г. становится неактуальной. Даже при наличии Пользовательского соглашения, оферты и иного договора нужно подавать уведомление в РКН и готовить локальные документы по защите ПДн (в уведомлении сообщается о их наличии).
Следствием подачи уведомления является включение в реестр операторов персональных данных и плановые проверки РКН соблюдения организационных и технических требований к защите ПДн.
2. Вторым по важности изменением следует считать уведомление РКН о трансграничной передаче персональных данных с 01 марта 2023 года. Это актуально для сервисов с зарубежным хостингом или поставщиками услуг/товаров российским гражданам. При желании РКН может придраться также к использованию на сайте метрических программ для аналитики трафика или виджетов иностранных поставщиков услуг.
Нужно быть готовым, что РКН может отказать в разрешении на трансграничную передачу ПДн по ряду причин. Поэтому лучше задуматься заранее о переходе на отечественные решения, не требующие передачи данных за рубеж.
3. Третьим по важности изменением можно считать возложение на лицо, обрабатывающее персональные данные по поручению оператора (так называемого «процессора»), всех обязанностей по их защите, предъявляемых к оператору. На иностранного процессора дополнительно возлагается солидарная ответственность с оператором ПДн, т.е. субъект может предъявить требование напрямую как оператору, так и процессору.
Данные изменения актуальны для поставщиков облачных сервисов и SaaS (PaaS) решений. Закон обязывает включать подробное описание требований к обработке ПДн непосредственно в контракте с процессором.
4. Политика конфиденциальности должна теперь публиковаться не только где-то на сайте, но и на страницах сбора ПДн. Как вам такое предложение разместить Политику в форму обратной связи или захвата?
5. В завершение упомянем существенное сокращение сроков ответа на запросы субъекта персональных данных. Они сократились с 30 календарных до 10 рабочих дней. Но с учетом изложенного выше, эта поправка явно меньшее из зол.
Важные изменения в российском законодательстве о защите персональных данных
Менее чем через месяц вступят в силу поправки в Закон №152-ФЗ «О персональных данных», которые коснутся практически каждой компании. Указанные изменения внесены Федеральным законом от 14.07.2022 № 266-ФЗ; Таким образом, законодатель оставил операторам персональных данных чуть больше месяца на то, чтобы разобраться с нововведениями.
Ниже мы приводим обзор основных изменений, на которые следует обратить особое внимание. Они вступят в силу 1 сентября 2022 года.
Увеличилось количество случаев, когда оператор должен уведомлять Роскомнадзор об обработке персональных данных. Например, при оформлении в рамках трудовых отношений они используются для оформления единого пропуска на территорию, а также в ряде других случаев.
Дополнены требования, которые оператор должен включить в договор в случае возложения обработки персональных данных на другое лицо. Такие поручения могут быть выданы при заключении договоров по корпоративной программе ДМС, регистрации зарплатного проекта в банке, организации обучения сотрудников, организации корпоративной мобильной связи.
Согласие субъекта персональных данных должно быть конкретным и недвусмысленным; таким образом, большинству компаний потребуется пересмотреть и изменить стандартную форму согласия.
Сокращено время ответа на запрос субъекта персональных данных – оператор должен дать ответ в течение 10 рабочих дней. Субъект персональных данных вправе запросить информацию о выполнении оператором обязанностей, предусмотренных Законом № 152-ФЗ.
Дополнен перечень документов, которые должны быть разработаны и приняты оператором. Помимо политики в отношении обработки персональных данных необходимы локальные акты, определяющие для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы и сроки их обработки. обработки и хранения, а также порядок уничтожения персональных данных.
Политика Оператора в отношении обработки персональных данных должна быть размещена, в том числе, на страницах сайта, на которых осуществляется сбор персональных данных. Это актуально для компаний, принимающих заявки, обращения или резюме кандидатов на своих сайтах, а также в случае использования файлов cookie.
Об инцидентах, повлекших за собой неправомерную передачу (предоставление, распространение, доступ) персональных данных, необходимо уведомлять Роскомнадзор в течение 24 часов с момента обнаружения инцидента, а также в течение 72 часов с момента получения результатов служебного расследования, а также дополнительно взаимодействовать с ФСБ через новую информационную систему ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак).
Положения Закона № 152-ФЗ теперь распространяются на иностранных юридических и физических лиц, если они осуществляют обработку персональных данных граждан Российской Федерации на основании договора или иного соглашения, сторонами которого являются граждане Российской Федерации, либо на основании на основании согласия гражданина Российской Федерации на обработку его персональных данных. Это актуально для компаний, которые ведут общие базы данных на стороне иностранных компаний.
Также с 01.03.2023 вступают в силу изменения, связанные с трансграничной передачей персональных данных, согласно которым операторы обязаны уведомлять Роскомнадзор о намерении осуществить трансграничную передачу персональных данных и получать разрешение в случае страна-получатель не входит в перечень стран, обеспечивающих адекватную защиту прав субъектов персональных данных. Например, на момент публикации в список стран, предоставляющих такую защиту, не входят США, Китай или страны Ближнего Востока.
В случае нарушения требований Закона № 152-ФЗ на компанию может быть наложен крупный штраф до 6 млн рублей. Несмотря на то, что Роскомнадзор не будет проводить плановые проверки до конца 2022 года, мы рекомендуем использовать это время для разработки недостающих внутренних документов, регламентирующих обработку персональных данных, и налаживания процессов взаимодействия.
Сравнение: GDPR и ФЗ РФ «О персональных данных»
Правительства разных стран все больше внимания уделяют Интернету: они занимаются контролем медиапиратства, пропагандой, распространением запрещенных товаров.
Законы и правила в России и ЕС
Основными документами, регламентирующими работу с персональными данными, являются Федеральный закон РФ № 152, принятый в 2006 г., и Европейский общий регламент о защите персональных данных (GDPR), вступивший в силу 25 мая 2018 г.
Российское законодательство определяет персональные данные как любую информацию, относящуюся к прямо или косвенно определенному или определяемому лицу (субъекту ПДн). Существует также понятие оператора ПД. Речь идет о лицах и организациях, занимающихся обработкой ПДн. Обработка – любое действие, совершаемое с персональными данными.
Термины, введенные в GDPR, очень похожи, но есть и серьезные различия. Например, определение персональных данных и их характеристик в GDPR гораздо шире. Это сделано для того, чтобы исключить любые недоразумения, если неясно, относится информация к ПДн или нет. В отличие от 152-ФЗ, где есть понятие оператора ПДн, в GDPR есть «контроллер» и «процессор». Согласно GDPR, контролеры определяют цели и средства обработки, а обработчики от их имени непосредственно занимаются обработкой.
Основные отличия 152-ФЗ от GDPR
При работе с персональными данными вы должны обеспечить их правильную обработку и защиту. Организация обязана установить лицо, ответственное за обработку персональных данных — этот пункт является общим для российских и европейских нормативных актов. В GDPR есть понятие Data Protection Officer — он подчиняется непосредственно высшему руководству компании, но в отличие от 152-ФЗ эту задачу можно доверить стороннему исполнителю (юридическому лицу).
В России организации обязаны привести процессы обработки персональных данных в соответствие с законодательством РФ: создать и внедрить системы защиты, уведомить Роскомнадзор. Необходимо получить согласие субъектов ПДн (в том числе при передаче их ПДн третьим лицам), подготовить и опубликовать соответствующие положения на сайте. Кроме того, согласно закону о локализации 242-ФЗ, базы персональных данных находятся на территории России.
GDPR не требует обязательного хранения персональных данных в странах ЕС. Хотя европейские нормативные акты во многом перекликаются с российским законодательством, существуют серьезные отличия в отношении трансграничной передачи ПДн – она возможна только в тех странах, которые, по мнению Евросоюза, должным образом защищают персональные данные.
Согласно 152-ФЗ, трансграничная передача разрешена всем странам, присоединившимся к Конвенции Совета Европы о защите физических лиц в отношении автоматической обработки персональных данных, а также ряду неприсоединившихся государств которые обеспечивают защиту от ЧР.
Российское законодательство допускает сбор персональных данных в объеме, соответствующем целям обработки, и их хранение в течение срока, необходимого для целей обработки. Согласно GDPR, правовым основанием для обработки ПДн является договор, согласие, общественный, жизненно важный или законный интерес.
Требования к защите
Одно из ключевых отличий GDPR от 152-ФЗ — защита персональных данных с учетом рисков потенциального ущерба. Если ущерб (психологический, финансовый или материальный) велик и возможен — обработка не может быть выполнена.
Российское законодательство включает только понятие уровня защиты персональных данных. Это зависит от их типа, количества и наличия недекларированных возможностей в системном и прикладном ПО. В этом случае даются конкретные указания об использовании сертифицированных средств защиты (приказ ФСТЭК №21), а в GDPR таких подзаконных актов нет.
Статья 25 GDPR требует от компаний создавать системы со встроенной защитой персональных данных и системами конфиденциальности по умолчанию — концепция «Privacy by Design & Privacy by Default».
Контролер данных обязан интегрировать систему защиты данных во все бизнес-процессы (включая процессы разработки продуктов или услуг) на ранней стадии их разработки и после этого постоянно поддерживать такую систему. Например, при разработке мобильного приложения необходимо проанализировать и предотвратить возможные риски, связанные с конфиденциальностью, и установить механизмы управления такими рисками до кодирования.
Согласно концепции, лучший способ снизить риски для конфиденциальности — не создавать их.
Штрафы за нарушения
Роскомнадзор может прийти в любую организацию с проверкой по результатам систематического контроля или по обращению физического лица. Также проводятся плановые проверки, список которых размещен на сайте ведомства. Если организация не уведомила Роскомнадзор о том, что она является оператором ПДн, это не спасет ее от проверок, не поможет и формальное заполнение готовых документов, скачанных из интернета — Роскомнадзор обязательно проверит информационные системы и выяснит реальную ситуацию.