Новые правила работы с персональными данными
31.08.2022
Сохранить / Распечатать
C 1 сентября 2022 г вступили в силу изменения, внесенные в Федеральный закон от 27.07.2006 №
Теперь права российских граждан на неприкосновенность частной жизни будут лучше защищены. Требования к операторам при обработке персональных данных ужесточаются.
Новеллы закона «О персональных данных» направлены на сокращение случаев нарушений в отношении субъектов персональных данных. Вместе с тем, масштабность поправок, внесенных в закон «О персональных данных», потребует дополнительно издания чиновниками большого количества подзаконных актов.
Предлагаем вашему вниманию краткий обзор документа с комментариями экспертов Бетерра.
I. Принцип экстерриториальности действия закона о персональных данных
C 1 сентября 2022 г. Роскомнадзор потребует от иностранных компаний соблюдения законодательства по защите персональных данных при сборе, записи, хранении и извлечении информации о субъектах таких данных.
Поправками введены дополнительные критерии, при наличии которых к действиям иностранной организации будет применяться закон «О персональных данных» — если обработка персональных данных ведется на основании договора, стороной которого являются граждане РФ, иных соглашений между иностранными юридическими лицами, иностранными физическими лицами и гражданами РФ, либо на основании согласия гражданина РФ.
Напомним, что ранее закон «О персональных данных» не содержал положений, которые бы регламентировали сферу его действия как по территории, так и кругу лиц. Применение закона к иностранным юридическим лицам, осуществляющим обработку персональных данных граждан РФ, не было конкретизировано.
II. Уточнение требований к согласию субъекта на обработку персональных данных
Согласие субъекта на обработку персональных данных должно быть конкретным, информированным и сознательным, в соответствии с требованиями части 1 статьи 9 закона «О персональных данных». Новый закон дополняет эту норму требованиями о предметности и однозначности такого согласия*.
Однако, к моменту выхода нашего обзора официальных разъяснений, что подразумевается под «предметностью и однозначностью» согласия на обработку персональных данных, пока нет.
Высока вероятность, что новые требования к форме согласия приведут к дополнительным основаниям для споров. Поэтому операторам и обработчикам необходимо актуализировать существующие формы согласия на обработку персональных данных и внести соответствующие правки в свои Положения об обработке персональных данных.
* «однозначностью согласия» — наличие однозначного волеизъявления с помощью заявления или четкого утвердительного действия в соответствии с Регламентом Европарламента и Совета Евросоюза 2016/679 от 27 апреля 2016 года о защите физических лиц при обработке персональных данных и о свободном обращении таких данных" (GDPR — General Data Protection Regulation)
III. Уточнение требований к содержанию локальных документов оператора по обработке персональных данных
Пункт 2 части 1 статьи 18.1 закона «О персональных данных» предусматривает обязанность оператора по изданию документов, которые определяют политику в отношении обработки персональных данных, документов компании по вопросам обработки персональных данных, а также локальных актов, касающихся процедур по предотвращению и выявлению нарушений законодательства РФ и по устранению их последствий.
Согласно изменениям, такие документы должны определять категории субъектов персональных данных, способы обработки, сроки обработки и хранения персональных данных, порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований для каждой цели обработки категории и перечень обрабатываемых персональных данных. Теперь рекомендации Роскомнадзора к содержанию политики оператора в отношении обработки персональных данных становятся законодательно закрепленными.
IV. Дополнительные обязанности лиц, осуществляющих обработку персональных данных по поручению оператора
Обработчики персональных данных по поручению оператора теперь также будут обязаны обеспечивать выполнения условий закона «О персональных данных».
В частности, обработчикам необходимо будет соблюдать требования о локализации баз данных на территории РФ и другие меры, предусмотренные статьей 18.1 закона «О персональных данных». В течение срока действия поручения оператора или до начала такой обработки оператор вправе запросить у обработчика документы и иную информацию, подтверждающую соблюдение указанных обязанностей.
Лицо, осуществляющее обработку персональных данных по поручению, должно уведомлять оператора об инцидентах, влекущих нарушение прав субъектов.
По общему правилу, если оператор поручает обработку персональных данных другому лицу, то ответственность перед субъектом персональных данных за действия обработчика несет оператор. Теперь же иностранные граждане или юридические лица, осуществляющие обработку персональных данных граждан РФ по поручению оператора также будут нести ответственность перед субъектами наряду с оператором.
Операторам и обработчикам мы рекомендуем в договоре о поручении на обработку персональных данных закрепить механизмы распределения ответственности. В поручении оператора на обработку персональных данных необходимо предусмотреть:
- перечень персональных данных;
- обязанность обработчика соблюдать требования к локализации;
- обязанность введения технических и организационных мер, а также мер безопасности (статьи 18.1. и 19 закона «О персональных данных»).
Поправками на обработчика возлагаются обязанности, аналогичные тем, которые закреплены в GDPR. Это сопрягает практики регламента GDPR с нормами закона «О персональных данных на законодательном уровне, а именно:
- предоставление по запросу оператора персональных данных определенных документов и информации, которые подтверждают соблюдение закона о персональных данных. Для этого обработчик должен фиксировать все действия по обработке персональных данных и внедрить организационно-технические меры защиты персональных данных (статьи 30 (2), 32 GDPR);
- соблюдение конфиденциальности при обработке персональных данных (статья 28 (b) GDPR);
- информирование оператора в случаях неправомерной или случайной передачи персональных данных (статья 33 (2) GDPR).
V. Сокращение сроков исполнения запросов Роскомнадзора
До 1 сентября этого года операторы имели возможность исполнять запросы Роскомнадзора или субъекта персональных данных в течение 30 дней с даты их получения.
Теперь срок для исполнения таких запросов сокращается до 10 рабочих дней. Этот срок может быть продлен при наличии мотивированного уведомления оператора, но не более чем на 5 рабочих дней. Важно, что форма ответа на запрос должна совпадать с формой самого запроса.
VI. Сокращение перечня случаев, когда оператор вправе не направлять уведомление об обработке персональных данных в Роскомнадзор
Статьей 22 закона «О персональных данных» предусмотрено, что оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных, за исключением ряда случаев. С 1 сентября операторы будут иметь право не направлять уведомление в Роскомнадзор только в случаях, если:
- персональные данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;
- персональные данные обрабатываются в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
При несоблюдении правил об уведомлении Роскомнадзора, операторы будут нести ответственность по статье 19.7 Кодекса Российской Федерации об административных правонарушениях.
С 1 сентября появляется новое требование сообщать в Роскомнадзор о любых изменениях в сведениях по обработке персональных данных не позднее 15 числа следующего месяца.
В связи с этим рекомендуем компаниям регулярно отслеживать процессы обработки персональных данных.
VII. Порядок трансграничной передачи персональных данных
(будет действовать с 1 марта 2023 г.)
В законе о персональных данных сохраняется разграничение иностранных государств на страны, где существует адекватная защита прав субъектов, и на тех, которые не могут обеспечить такую защиту. С 1 марта следующего года вводятся уведомительный и разрешительный режимы для трансграничной передачи персональных данных.
Оператор будет обязан уведомить Роскомнадзор о планируемой трансграничной передачи персональных данных. Это уведомление будет рассматриваться Роскомнадзором в течение 10 рабочих дней. Направить такое уведомление оператор сможет только после подачи уведомления об осуществлении обработки персональных данных, предусмотренного статьей 22 закона «О персональных данных». Роскомнадзор может запросить у оператора дополнительную информацию для оценки достоверности сведений, указанных в уведомлении.
В поправках статьи 12 закона «О персональных данных» предусматривается два режима трансграничной передачи данных — разрешительный и уведомительный:
Уведомительный режим действует при передаче персональных данных в государства, обеспечивающие адекватную защиту прав субъектов. После направления уведомления оператор вправе осуществлять трансграничную передачу персональных данных на территории указанных в уведомлении государств, до того момента, когда Роскомнадзор запретит или ограничит такую передачу;
Разрешительный режим действует при передаче персональных данных в государства, которые не обеспечивают адекватную защиту прав субъектов. После того, как оператор направил уведомление, до истечения срока его рассмотрения Роскомнадзором не разрешается осуществлять трансграничную передачу персональных данных на территории указанных государств, за исключением случаев, когда такая передача необходима для защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц. То есть, трансграничная передача персональных данных в указанные государства станет возможной без получения письменного согласия субъекта или наличия иных оснований, предусмотренных действующей редакцией части 4 статьи 12 закона «О персональных данных», но при условии получения разрешения Роскомнадзора на такую передачу.
Если раньше цели, в отношении которых трансграничная передача персональных данных может быть запрещена или ограничена, были обоснованы защитой основ конституционного строя РФ, нравственности, здоровья, прав и законных интересов граждан, обеспечением обороны страны и безопасности государства, то с 1 марта 2023 г. к этому перечню добавится защита экономических и финансовых интересов России, обеспечение дипломатическими и международно-правовыми средствами защиты прав, свобод и интересов граждан Российской Федерации, суверенитета, безопасности, территориальной целостности нашей страны и других ее интересов на международной арене.
В случае, если Роскомнадзор решит запретить или ограничить трансграничную передачу персональных данных, оператор будет обязан обеспечить уничтожение органом власти иностранного государства, иностранным гражданином, иностранной организацией ранее переданные им персональные данные.
Операторы, которые уже сейчас передают персональные данные через границу, будут обязаны не позднее 1 марта следующего года направить в Роскомнадзор уведомление об осуществлении трансграничной передачи персональных данных.
Уже понятно, что указанные ограничения могут значительно усложнить процесс трансграничной передачи данных или, в определенных случаях, сделать ее невозможной.
Перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, в настоящее время обновляется Роскомнадзором.
VIII. Дополнительная обязанность при допущении утечек персональных данных
В скором времени операторы будут обязаны обеспечить взаимодействие со специальной Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая необходимость информирования о компьютерных инцидентах, повлекших неправомерную передачу персональных данных, их распространение или доступ.
Если такой инцидент произойдет, оператор будет обязан с момента выявления уведомить Роскомнадзор в течение 24 часов об этом, предполагаемых причинах и вреде, нанесенном правам субъектов, о принятых мерах по устранению последствий, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с Роскомнадзором по данному инциденту. В течение 72 часов с момента выявления такой ситуации необходимо будет сообщить о результатах внутреннего расследования, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента, при наличии такой информации.
С 1 марта 2023 г. Роскомнадзор будет вести специализированный реестр таких инцидентов.
Основание: Федеральный закон от 14.07.2022 N
Загрузка комментариев...
Вам может быть интересно
Дайджест новостей в налоговом и бухгалтерском учёте за октябрь 2023 года
I.Налог на прибыль
1.Изменение формы налогового расчёта сумм доходов, выплаченных иностранным организациям, и сумм удержанных налогов.
Дайджест новостей в налоговом и бухгалтерском учёте за август-сентябрь 2023 год
I.Налог на прибыль
1.Налог на сверхприбыль крупных компаний
Дайджест наиболее значимой правовой информации в области трудового и миграционного законодательства За III квартал 2023 года
I.НОВОСТИ ЗАКОНОДАТЕЛЬСТВА
Штрафы за нарушения воинского учёта
Новый порядок хранения архивных документов
17 сентября 2023 года вступил в силу приказ Федерального архивного агентства (Росархива), утвердивший новые правила организации хранения, комплектования, учёта и использования архивных документов.
Действующий ранее Порядок хранения архивных документов, утверждённый приказом Минкультуры РФ, утратил силу.
Дайджест новостей законодательства в области расчёта заработной платы за июль-август 2023 года
Скидка к тарифу взносов на травматизм на 2024 год
Социальный Фонд России и Министерство труда и социальной защиты РФ утвердили значения основных показателей по видам экономической деятельности на 2024 год.
Об изменениях в правилах воинского учёта. Информация для работодателей
С 5 августа 2023 года вступили в силу изменения в Положении о воинском учёте, внесённые Постановлением Правительства РФ от 25 июля 2023 года № 1211.
Рассказываем, как новый порядок коснулся работодателей.
Дайджест новостей в налоговом и бухгалтерском учёте за июль 2023 года
I.Налог на прибыль
Повышающий коэффициент для высокотехнологичного оборудования
Обзор изменений законодательства по налогообложению прибыли контролируемых иностранных компаний за II квартал 2023 года
Разъяснения о порядке налогообложения прибыли КИК за 2022-2025 годы в связи с введением пунктов 1.2 и 1.3 статьи 25.15 НК РФ
В декабре 2022 года Федеральный закон № 565-ФЗ изменил статью 25.15 «Порядок учёта прибыли контролируемой иностранной компании при налогообложении» Налогового Кодекса РФ, добавив подпункты 1.2 и 1.3, которые дают возможность возможность при корректировке прибыли КИК за 2022 – 2025 годы учитывать вместо величины дивидендов (распределенной прибыли) сумму прибыли КИК, рассчитанной в соответствии со статьёй 309.1 НК РФ. Для этого должны одновременно соблюдаться ряд условий.
Дайджест новостей в налоговом и бухгалтерском учёте за май-июнь 2023 года
1.Учёт положительной курсовой разницы на конец 2022 года при расчёте отрицательной курсовой разницы в 2023 году
Федеральная налоговая служба в декабре 2022 года указывала, что при превышении на конец 2022 года положительных курсовых разниц над отрицательными, они будут учитываться при исчислении налоговой базы в налоговом периоде, в котором происходит погашение соответствующего обязательства.
Обзор правоприменительной практики в области трудового права за II квартал 2023 года
Оплата сверхурочной работы
Конституционный Суд РФ признал неконституционными нормы части 1 статьи 152 Трудового Кодекса, которые касаются оплаты сверхурочной работы исходя только из тарифной ставки или оклада без учёта компенсационных и стимулирующих выплат.
Дайджест наиболее значимой правовой информации в области трудового и миграционного законодательства За II квартал 2023 года
I.НОВОСТИ ЗАКОНОДАТЕЛЬСТВА
Смягчены требования при трудоустройстве несовершеннолетних
Дайджест наиболее значимой правовой информации в области трудового и миграционного законодательства За I квартал 2023 года
I.НОВОСТИ ЗАКОНОДАТЕЛЬСТВА
Правительство расширило перечень оснований для внеплановых проверок Роскомнадзором
Изменения в работе с Роскомнадзором
Мы уже рассказывали вам о существенных изменениях в законодательстве, которые коснулись обработки персональных данных.
Первые нововведения, которые коснулись работы операторов персональных данных, действуют с 01 сентября 2022 года на основании Федерального закона 226-ФЗ. Этот закон перевёл из рекомендательных в перечень обязательных к применению требования статьи 18.1 Закона № 152-ФЗ.
Дайджест новостей в налоговом и бухгалтерском учёте за февраль-апрель 2023 года
I.НДС
1.Подтверждение нулевой ставки НДС при экспорте товаров, цена на которые изменилась после их выпуска.
Применение ставки 0% по налогу на прибыль для IT компаний
Федеральная налоговая служба дала разъяснения по пункту 1.15 статьи 284 Налогового кодекса РФ в связи с возникающими вопросами в отношении применения IT-компаниями пониженной ставки 0% по налогу на прибыль.
1.Может ли компания, которая была аккредитована в июле 2022 года, ретроспективно с начала года применять нулевую ставку по налогу на прибыль?
Дайджест новостей в налоговом и бухгалтерском учёте за январь 2023 года
I.Налог на прибыль
1.Налогообложение курсовых разниц
Дайджест новостей законодательства в области расчёта заработной платы за январь 2023 года
I.ИЗМЕНЕНИЯ ЗАКОНОДАТЕЛЬСТВА
НДФЛ за счёт работодателя
Декларационная кампания-2023
С 1 января 2023 года стартовала ежегодная декларационная кампания, в ходе которой налогоплательщики – физические лица должны отчитаться в налоговую инспекцию о доходах, полученных в 2022 году.
Ниже – ответы на самые важные вопросы, касающиеся этой кампании.
Новые размеры пособий, компенсаций и социальных выплат
В начале каждого года государство индексирует социальные выплаты в соответствии с уровнем инфляции.
Напомним, что с начала этого года был повышен минимальный размер оплаты труда, размер прожиточного минимума и страховые пенсии для неработающих пенсионеров. Соответственно, размеры выплат, которые основаны на МРОТ, также изменились.
Дайджест наиболее значимой правовой информации в области трудового и миграционного законодательства за IV квартал 2022 года
I. НОВОСТИ ЗАКОНОДАТЕЛЬСТВА
Поправки о дополнительных выходных днях для лиц, ухаживающих за детьми-инвалидами