Подписан закон о новых требованиях к обработке персональных данных для операторов, в том числе об обязанностях уведомления о кибератаках

Оператор персональных данных – это государственный орган, муниципальный орган, юридическое или физическое лицо (в том числе ИП, самозанятый), которые самостоятельно или совместно с другими лицами организуют и (или) осуществляют обработку персональных данных, определяют цели такой обработки, состав подлежащих обработке персональных данных, а также перечень совершаемых с ними действий (операций) (п. 2 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ (ред. от 02.07.2021) «О персональных данных»). Например, организация является оператором персональных данных в отношении своих сотрудников и иных физлиц, чьи данные получает.

Уведомлять Роскомнадзор о планах обрабатывать личную информацию придется и в случаях, когда эти сведения:

- относятся к работникам;

- принадлежат контрагентам оператора, а он использует перронные данные, чтобы исполнять договоры или заключать новые соглашения с теми же гражданами (при этом сведения не распространяют и не передают третьим лицам без согласия);

- нужны для однократного пропуска гражданина на территорию оператора или для аналогичных целей.

Сейчас в этих и некоторых других случаях извещать ведомство не нужно.

Оператор должен до начала обработки личных сведений, которые он получил от другого источника, перечислить такие данные их субъекту.

Нужно будет работать с госсистемой обнаружения, предупреждения и ликвидации последствий кибератак на информресурсы РФ (см. ст. 5 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»). В частности, через нее придется сообщать об инцидентах, из-за которых произошла утечка личных сведений.

Операторам запретили отказывать физлицу в услугах, если оно не хочет предоставлять биометрические сведения или соглашаться на обработку персональные данных, если по закону получать согласие на нее необязательно.

Изменили ряд сроков. Так, с 30 дней до 10 рабочих дней сократили время на то, чтобы оператор сообщил Роскомнадзору по его запросу нужные данные.

Поправки вступят в силу 1 сентября 2022 г., кроме отдельных положений, которые начнут применять с 1 марта 2023 г.

Законодательство РФ:

1. Федеральный закон от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности»
2. Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»
3. В Приложении № 1 к Методическим рекомендациям, утвержденными Приказом Роскомнадзора от 30.05.2017 № 94, дана форма уведомления.