Журнал "Information Security/ Информационная безопасность" #5, 2022

ФЗ № 152-ФЗ "О персональных дан- ных" (далее – Закон) претерпел неко- торые изменения, теперь его положения применяются к обработке персональных данных граждан Российской Федера- ции, осуществляемой иностранными юридическими лицами или иностран- ными физическими лицами (ч. 1.1, ст. 1). С 1 сентября 2022 г. вступило в силу множество других изменений Закона, которые были введены Федеральным законом от 14.07.2022 г. № 266-ФЗ "О внесении изменений в Федеральный закон "О персональных данных…"; чтобы в них не запутаться, для опера- торов был составлен чек-лист основных мероприятий. Что нужно сделать в ближайшее время 1. Проверить поручение на обработку персональных данных В новой редакции Закона были кон- кретизированы требования ко всем обра- ботчикам, как к отечественным, так и к иностранным. В ч. 3 ст. 6 указано, что именно должно быть определено в поручении на обработку (перечень пер- сональных данных, перечень действий с персональными данными, цели их обра- ботки и т.д.). Российский обработчик несет ответственность перед оператором, а тот, в свою очередь, перед субъектами. В случае если иностранное физическое или юридическое лицо является обра- ботчиком, оно будет нести совместную с оператором ответственность перед субъ- ектами персональных данных (ч. 6, ст. 6). 2. Отказаться от избыточного сбора биометрии У субъекта появилось право отказать в предоставлении биометрических пер- сональных данных. C сентября 2022 г. предоставление биометрических персо- нальных данных не может быть обяза- тельным, за исключением случаев, пред- усмотренных ч. 2 ст. 11 Закона. При этом оператор не вправе отказывать в обслуживании субъекту, который отка- зался предоставлять биометрические персональные данные и (или) согласие на их обработку (ч. 3, ст. 11). 3. Проверить договоры с субъектами персональных данных Обратите внимание на изменения в ст. 6: теперь заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обра- ботки персональных данных несовер- шеннолетних, а также положения, допус- кающие в качестве условия заключения договора бездействие субъекта персо- нальных данных. 4. Проверить формы согласий Согласие на обработку персональных данных должно быть конкретным, пред- метным, информированным, сознатель- ным и однозначным (ст. 9). Если предо- ставление персональных данных и (или) получение оператором согласия на обра- ботку персональных данных являются обязательными, то оператор обязан разъяснить субъекту персональных дан- ных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку (ст. 18). 5. Проверить формы уведомлений субъектов До начала обработки персональных данных, полученных не от субъекта пер- сональных данных, оператор обязан предоставить субъекту персональных данных перечень важной информации об этом процессе, включающий цель обработки, наименование оператора, а с сентября в обязательном порядке еще и перечень персональных данных (ч. 3, ст. 18). 6. Проверить регламент ответов на запросы субъектов В какие сроки нужно отвечать на запросы субъекта? К сожалению, срок сократился до 10 рабочих дней, он может быть продлен, но не более чем на пять рабочих дней в случае направления опе- ратором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой инфор- мации. Оператор также должен предо- ставлять по запросу информацию о спо- собах исполнения оператором обязан- ностей, установленных ст. 18.1 Закона (ст. 14, ст. 20). Требование об уничтоже- нии персональных данных тоже должно быть выполнено в 10-дневный срок. 7. Назначить лицо, ответственное за организацию обработки персональных данных 8. Проверить комплект документов Документы не могут содержать поло- жения, ограничивающие права субъектов персональных данных, а также возла- гающие на операторов не предусмот- ренные законодательством Российской Федерации полномочия и обязанности. В комплект документов должны входить: l политика оператора в отношении обработки персональных данных; l локальные акты по вопросам обра- ботки персональных данных, опреде- ляющие для каждой цели обработки персональных данных категории и пере- чень обрабатываемых персональных данных, категории субъектов, способы, сроки их обработки и хранения; l порядок уничтожения персональных данных при достижении целей их обра- ботки или при наступлении иных закон- ных оснований; l локальные акты, устанавливающие процедуры, направленные на предотвра- щение и выявление нарушений законо- дательства Российской Федерации, устра- нение последствий таких нарушений. Теперь подлежат обязательному согла- сованию нормативные правовые акты по 4 • ПРАВО И НОРМАТИВЫ Персональные данные. Чек-лист на 2022-2023 годы год был богат на события, мы столкнулись с масштабными утечками персональных данных и разнообразными внешними угрозами информационной безопасности. Законодательство изменилось в соответствии с новыми обстоятельствами. Произошло то, чего все давно ждали: сфера действия закона о персональных данных была расширена. 2022 Ксения Шудрова, эксперт по информационной безопасности