Сегодня мы более подробно разберем изменения, которые касаются, без преувеличения, всех организаций вне зависимости от организационной формы и формы собственности.

Имейте в виду, что изменения вступают в силу не одновременно. В статье 6 Закона № 266 указано, что закон вступает в силу с 01.09.2022 года за исключением положений, для которых настоящей статьей установлен иной срок вступления в силу. Кстати, этот иной срок – 01.03.2023.

1. Необходимо детализировать перечень персональных данных (далее по тексту – ПДн), обработка которых поручается сторонним организациям.

В соответствии с ч. 3 с. 6 Закона № 152-ФЗ, в поручении оператора на обработку ПДн должны быть определены:

— перечень персональных данных,

— перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных,

— цели их обработки,

— должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные ч. 5 ст. 18 и ст. 18.1 Закона № 152-ФЗ,

— обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с настоящей статьей,

— обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ст. 19 Закона № 152-ФЗ, в том числе требование об уведомлении оператора о случаях, предусмотренных ч. 3.1 ст. 21 Закона № 152-ФЗ.

Что нужно сделать? Необходимо пересмотреть документы, в соответствии с которыми поручается обработка ПДн, вне зависимости от того, чьи данные обрабатываются третьими лицами – сотрудников организации или не сотрудников. Поскольку ответственность за нарушение законодательства несет не Ваш партнер, а оператор ПДн.

2. Изменение ч. 5 ст. 6, ч.1 ст. 9 Закона № 152-ФЗ.

Дополнена следующим: «Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных».

Давайте рассмотрим такой пример. Часто встречающаяся фраза: «Продолжая оформление заказа, Вы даете согласие на обработку персональных данных». С 1 сентября такая формулировка может явиться формальным основанием для жалобы в адрес регулятора. Иными словами (что подтверждается изменением ч. 1 ст. 9 Закона № 152-ФЗ), согласие на обработку персональных данных (далее по тексту – ПДн) должно быть конкретным, предметным, информированным, сознательным и однозначным.

Что нужно сделать? Необходимо проверить, насколько соответствует закону способ сбора персональных данных через формы сайтов и, в случае выявления нарушений, внести соответствующие коррективы. Также необходимо свериться с рекомендациями Роскомнадзора в отношении форм согласия на обработку ПДн. (Прим. автора – требования по-прежнему урегулируются приказом Роскомнадзора № 18 от 24.02.2021)

Чем может быть чревато нарушение этой нормы? Привлечением к ответственности по ч. 2 и ч. 2.1 ст. 13.11 КоАП (в размере от 20 000 до 100 000 рублей для должностных лиц, от 100 000 до 300 000 рублей для ИП, от 30 000 до 500 000 для юридических лиц).

3. Главное изменение! Уведомление Роскомнадзора.

С 01.09.2022 утратили силу пп. 1-6 ч. 2 ст. 22, которые ранее позволяли не направлять уведомление в случае если Вы обрабатываете ПДн по ряду оснований. Многие операторы пользовались этой возможностью. Теперь необходимо направить соответствующее уведомление, в случаях, если Вы осуществляете обработку ПДН:

— в соответствии с трудовым законодательством;

— полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

— относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

— разрешенных субъектом персональных данных для распространения при условии соблюдения оператором запретов и условий, предусмотренных статьей 10.1 Закона № 152-ФЗ;

— включающих в себя только фамилии, имена и отчества субъектов персональных данных;

— необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях.

В каких случаях можно НЕ уведомлять Роскомнадзор:

— при обработке ПДн, включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

— в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;

— обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности.

Изменена форма уведомления. Подробнее об этом на сайте Роскомнадзора Портал персональных данных — Электронные формы заявлений (rkn.gov.ru)

В случае изменения сведений, указанных в ч. 3 ст. 22,  а также в случае прекращения обработки ПДн необходимо направить информационное письмо в течении 10 рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

ВАЖНО: С 1 марта 2023 года об изменениях необходимо будет уведомить не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения.

У Вас есть возможность оценить качество проведенной работы по аудиту информационной безопасности. Поскольку грамотно составленные документы включают все необходимые для направления уведомления сведения и Вам не придется заново проводить работу по опросу подразделений, выявлению субъектов ПДн, целей и условий обработки ПДн и т.п. Партнеры, выбравшие нас для проведения работ, получают полный комплект документации, содержащий эти сведения не только на бумажных носителях, но и в электронном виде в формате, позволяющем копирование информации, что несомненно ускорит и упростит работу Ваших ответственных сотрудников. (Да, это была минутка рекламы. 😉 Но ведь если мы хорошо выполняем свою работу, то можем говорит об этом с гордо поднятой головой!)

Кстати говоря, наши Заказчики, сделавшие выбор в пользу системы «Альфадок» от наших замечательных партнеров ООО «НПЦ «КСБ» могут вообще на заморачиваться на составление уведомлений и информационных писем. Поскольку система заполняет эти документы автоматически, на основании введенных в профиле пользователя сведений. Настоящая мечта специалиста по ИБ – система сама актуализирует документы в соответствии с последними изменениями законодательства и напомнит о необходимости утвердить новую форму документа.

А сейчас автор будет завершать сегодняшнюю статью, но не обзор изменений закона № 152-ФЗ. Как говорится, продолжение следует. 😉

PS. Напоследок даем ссылку на официальный канал Роскомнадзора с полезным контентом по поводу изменений. https://t.me/rkn_tg/320

Кстати, если у Вас есть вопросы, будем рады ответить на них, поскольку наш канал также работает как бюро помощи в любой ситуации в сфере информационной безопасности!

Берегите себя и продолжайте читать наш канал.

Автор статьи: Виктория Уляшина.