6 июля 2022 г. Государственная дума приняла в третьем чтении ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности», который касается в том числе вопросов, связанных с обработкой персональных данных.
Ниже представлены ключевые изменения:
- Вводится экстерриториальность применения российского законодательства о персональных данных1.
- Устанавливается прямой запрет на обработку персональных данных в связи с бездействием лица2,а именно: договор, который может являться основанием для обработки персональных данных, не должен заключаться в связи с бездействием лица по отказу от такого договора. Кроме того, такой договор не должен содержать положения ограничивающие права и свободы субъекта персональных данных.
- Изменены требования к договору поручения на обработку персональных данных. Теперь лицо, обрабатывающее данные по поручению оператора, должно подтвердить, что выполнило все требования по обработке персональных данных, которые обязан выполнять оператор (ст. ст. 18, 18.1 и 19 ФЗ)3.
- Усилена ответственность иностранных лиц. Теперь, если обработка по поручению осуществляется иностранным лицом, то оно отвечает перед субъектом за допущенные нарушения наравне с оператором4. Такое изменение субъектов ответственности для российских обработчиков не предусмотрено.
- Дополнены требования, предъявляемые к согласию на обработку персональных данных. Такой документ должен быть не только конкретным, информированным и сознательным, но и предметным, а также однозначным.
- Изменены требования по предоставлению биометрических данных. Предоставление биометрических персональных данных не может быть обязательным, за исключением случаев, предусмотренных законом5.
- Изменился и стал строже порядок трансграничной передачи персональных данных. Уточняется, что при трансграничной передаче данных определяющим является нахождение получателя данных на территории иностранного государства. Устанавливается обязанность операторов информировать уполномоченные органы власти о намерении трансграничной передачи персональных данных. В исключительных случаях, при наличии угроз для обороны, безопасности и основ конституционного строя, такая передача может быть ограничена по решению уполномоченного органа власти6.
- Введена новая обязанность для операторов трансграничной передачи данных. Операторы, которые осуществляли трансграничную передачу персональных данных до дня вступления указанных изменений и продолжают осуществлять такую передачу после дня вступления в силу настоящего Федерального закона, обязаны не позднее 1 марта 2023 года направить в уполномоченный орган по защите прав субъектов персональных данных уведомление об осуществлении трансграничной передачи персональных данных.
- Изменение срока ответа на запрос субъекта. Срок ответа на запрос субъекта касательно обработки его персональных данных сокращён с 30 до 10 дней, но по уважительной причине может быть продлен на 5 дней.
- Вводится обязанность операторов незамедлительно информировать об инцидентах с принадлежащими им базами персональных данных уполномоченные органы власти, а также обязанность обеспечивать непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
Следует отметить, что положения Федерального закона вступают в силу с 1 сентября 2022 г., за исключением следующих положений, которые вступают в силу с 1 марта 2023 г.:
- О трансграничной передаче персональных данных.
- Об обязанности операторов информировать уполномоченные органы власти о намерении трансграничной передачи персональных данных.
- Об обязанности операторов незамедлительно информировать об инцидентах с принадлежащими им базами персональных данных уполномоченные органы власти.
1 ч. 11 ст. 1 ФЗ «О персональных данных» (Далее – «ФЗ»)
2 п. 5 ч. 1 ст. 6 ФЗ
3 ч. 3 ст. 6 ФЗ
4 ч. 6 ст. 6 ФЗ
5 ч. 3 ст. 11 ФЗ
6 ст. 12 ФЗ