Обзор изменений 2022-2023гг. в 152-ФЗ от 27.07.2006 «О персональных данных»
Актуальность материала: 01.03.2023
Табличный обзор изменений 2022-2023гг. в 152-ФЗ от 27.07.2006 «О персональных данных»
| Норма | Предложенные законопроектом изменения в 152-ФЗ | Комментарии | Рекомендации |
|---|---|---|---|
| Ст.1 | ч.1.1. Положения настоящего Федерального закона применяются к обработке персональных данных граждан Российской Федерации, осуществляемой иностранными юридическими лицами или иностранными физическими лицами, на основании договора, стороной которого являются граждане Российской Федерации, иных соглашений между иностранными юридическими лицами, иностранными физическими лицами и гражданами Российской Федерации либо на основании согласия гражданина Российской Федерации на обработку его персональных данных. | * Норма вступает в силу с 2022.09.01. * Добавлен принцип экстерриториальности 152-ФЗ в отношении обработки ПД, осуществляемой иностранным лицом на основании договора с гражданином РФ (при этом факт нахождения гражданина РФ на территории РФ не является квалифицирующим признаком) или на основании СОПД гражданина РФ. * См. закон о внесении в КоАП РФ новой ст.19.5.2, согласно которой иностранных лиц, осуществляющих деятельность в сети «Интернет» на территории РФ, будут штрафовать за нарушение запрета на сбор ПД граждан РФ. | * Проанализировать риски, связанные как с трансграничной передачей ПД за рубеж, так и с ведением иностранными лицами деятельности по обработке ПД, направленной на находящихся в РФ субъектов. |
| Ст.4 | ч.3.1. Нормативные правовые акты, принимаемые в соответствии с частью 2 настоящей статьи, подлежат обязательному согласованию с уполномоченным органом по защите прав субъектов персональных данных в случаях, если указанные нормативные правовые акты регулируют отношения, связанные с осуществлением трансграничной передачи персональных данных, обработкой специальных категорий персональных данных, биометрических персональных данных, персональных данных несовершеннолетних, предоставлением, распространением персональных данных, полученных в результате обезличивания. Срок указанного согласования не может превышать тридцать дней с даты поступления соответствующего нормативного правового акта в уполномоченный орган по защите прав субъектов персональных данных. | * Норма вступает в силу с 2022.09.01. | * Рекомендации отсутствуют. |
| Ст.6 | ч.1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях: … 5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных; … | * Норма вступает в силу с 2022.09.01. * Появляется больше рисков у практики одностороннего изменения оператором положений уже заключенного возмездного или безвозмездного договора с субъектом ПДн, в рамках которой бездействие субъекта ПД (в т.ч. в ответ на соответствующее уведомление со стороны оператора) квалифицируется в качестве его согласия с измененными положениями договора. * См. Федеральный закон от 01.05.2022 № 135-ФЗ, который с 2022.09.01 вносит изменения в ст.16 Закона РФ «О защите прав потребителей» и пресекает необоснованный сбор ПД потребителей, а также запрещает включать в договоры условия, навязывающие дополнительные товары и услуги. * См. Федеральный закон от 28.05.2022 № 145-ФЗ, который с 2022.09.01 дополняет ст.14.8 КоАП РФ частью 7, устанавливающая административную ответственность за отказ в заключении договора с потребителем в случае отказа предоставить ПД. * См. ст.57 ТК РФ, согласно которой в трудовом договоре могут предусматриваться дополнительные условия, не ухудшающие положение работника по сравнению с установленным трудовым законодательством и иными нормативными правовыми актами, содержащими нормы трудового права, коллективным договором, соглашениями, локальными нормативными актами. * См. информационное письмо Банка России № ИН-06-59/57, Роскомнадзора № 08ЛА-48666 от 29.07.2021 «О согласии заемщиков на обработку их персональных данных». | * Проанализировать и доработать (при необходимости) типовые формы договоров с потребителями, договоров гражданско-правового характера с подрядчиками-ФЛ/ИП и трудовых договоров согласно новым требованиям. Внести соответствующие изменения в уже заключенные договоры. * Если в договорах с субъектами ПД есть положения об обработке ПД, то особый фокус при анализе договоров следует уделить соответствию/совместимости предмета договора и заявленных в нем целей обработки ПД, необходимости и пропорциональности обработки указанной в договоре обработки персональных данных. |
| ч.3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом. В поручении оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 настоящего Федерального закона, обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с настоящей статьей, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона, в том числе требование об уведомлении оператора о случаях, предусмотренных частью 3.1 статьи 21 настоящего Федерального закона. | * Норма вступает в силу с 2022.09.01. * Расширение объема обязанностей обработчиков по соблюдению требований 152-ФЗ (локализация баз с ПД, принятие предусмотренных ст.18.1 152-ФЗ мер и предоставление сведений о них по запросу оператора, уведомление оператора в отношении инцидентов с ПД) и, соответственно, возможностей привлечения обработчиков к юридической ответственности. | * Проанализировать и доработать (при необходимости) типовые формы договоров (положения в договоры) об обработке ПД согласно новым требованиям. * Включить в локальные акты оператора положения о порядке взаимодействия с обработчиками в части: (1) предоставления документов/сведений, подтверждающих принятие обработчиками мер и соблюдение ими в целях исполнения поручения оператора требований ст.6 152-ФЗ; (2) уведомления оператора о случаях, предусмотренных ч.3.1 ст.21 и ч.12 ст.19 152-ФЗ. |
|
| ч.6. В случае, если оператор поручает обработку персональных данных иностранному физическому лицу или иностранному юридическому лицу, ответственность перед субъектом персональных данных за действия указанных лиц несет оператор и лицо, осуществляющее обработку персональных данных по поручению оператора. | * Норма вступает в силу с 2022.09.01. * Попытка применения принципа экстерриториальности 152-ФЗ (см. п.1 Таблицы) на отношения, связанные с поручением обработки ПД оператором-резидентом РФ в адрес обработчика-нерезидента РФ. * Сомнительно (с т.з. общеправовых принципов), что может идти речь о солидарной ответственности оператора и обработчика(ов). Предполагается, что каждое лицо будет нести ответственность перед субъектом ПД сообразно своим собственным действиям (бездействую). | * Проанализировать и доработать (при необходимости) типовые формы договоров (положения в договоры) о поручении обработки ПД на предмет закрепления механизма распределения ответственности оператора-резидента и обработчика-нерезидента перед субъектом ПД. Внести соответствующие изменения в уже заключенные договоры. | |
| Ст.9 | ч.1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором. | * Норма вступает в силу с 2022.09.01. * Критерий предметности может быть интерпретирован как порицание практики включения в СОПД целей и иных аспектов обработки ПД несовместимых/несвязанных с деятельностью оператора и предметом (контекстом) его взаимоотношений с субъектом ПД (Е.Контемиров: «Оператор не может в согласие погрузить направления деятельности, которые не связаны либо с его основной деятельностью, либо с услугами которые он не предоставляет»). * Критерий однозначности может быть интерпретирован как то, что согласие не может быть получено путем того же самого действия субъекта ПД, направленного на возникновение иных (например, договорных) взаимоотношений с оператором. * Расширение перечня критериев валидности выражения согласия субъектом ПД, помимо прочего, означает увеличение возможностей по его оспариванию, что со временем будет снижать привлекательность (для операторов) использования этого основания легализации обработки ПД. | * Проанализировать и скорректировать (при необходимости) существующую практику получения СОПД. |
| Ст.10.1 | ч.15. Требования настоящей статьи не применяются в случае обработки персональных данных в целях выполнения возложенных законодательством Российской Федерации на государственные органы, муниципальные органы, а также на подведомственные таким органам организации функций, полномочий и обязанностей | * Норма вступает в силу с 2022.09.01. * Расширение круга лиц (не только органы власти, но и их подведы), на которых распространяется исключение в отношении получения согласия на распространение ПД. | * Рекомендации отсутствуют. |
| Ст.11 | ч.3. Предоставление биометрических персональных данных не может быть обязательным, за исключением случаев, предусмотренных частью 2 настоящей статьи. Оператор не вправе отказывать в обслуживании в случае отказа субъекта персональных данных предоставить биометрические персональные данные и (или) дать согласие на обработку персональных данных, если в соответствии с федеральным законом получение оператором согласия на обработку персональных данных не является обязательным. | * Норма вступает в силу с 2022.09.01. * Пресечение недобросовестной практики некоторых организаций (в первую очередь кредитных) по вынуждению клиентов-ФЛ предоставлять согласия на обработку биометрических ПД. * Во втором предложении речь идет о согласии на обработку ПД в целом (а не только биометрических ПД), но с т.з. грамматического и телеологического толкования перспективы распространения нормы на все связанное с получением СОПД регулирование выглядят несущественными. * См. п.п.18.18, 18.20, 18.23, 18.24 ч.14.1 149-ФЗ «Об информации…». * См. Федеральный закон от 01.05.2022 № 135-ФЗ, который с 2022.09.01 вносит изменения в ст.16 Закона РФ «О защите прав потребителей» и пресекает необоснованный сбор ПД потребителей, а также запрещает включать в договоры условия, навязывающие дополнительные товары и услуги. * См. Федеральный закон от 28.05.2022 № 145-ФЗ, который с 2022.09.01 дополняет ст.14.8 КоАП РФ частью 7, устанавливающая административную ответственность за отказ в заключении договора с потребителем в случае отказа предоставить ПД. | * Проанализировать и скорректировать (при необходимости) существующую практику обработки биометрических ПД и получения соответствующего СОПД. * Отслеживать правоприменительную и судебную практику в отношении получения СОПД в тех случаях, когда, согласно закону, оно не является обязательным. |
| Ст.12 | 1. Трансграничная передача персональных данных осуществляется в соответствии с настоящим Федеральным законом и международными договорами Российской Федерации. 2. Уполномоченный орган по защите прав субъектов персональных данных утверждает перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных. В перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, включаются государства, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иностранные государства, не являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, при условии соответствия положениям указанной Конвенции действующих в соответствующем государстве норм права и применяемых мер по обеспечению конфиденциальности и безопасности персональных данных при их обработке. 3. Оператор до начала осуществления деятельности по трансграничной передаче персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять трансграничную передачу персональных данных. Указанное уведомление направляется отдельно от уведомления о намерении осуществлять обработку персональных данных, предусмотренного статьей 22 настоящего Федерального закона. 4. Уведомление, предусмотренное частью 3 настоящей статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление о намерении осуществлять трансграничную передачу персональных данных должно содержать следующие сведения: 1) наименование (фамилия, имя, отчество), адрес оператора, а также дата и номер уведомления о намерении осуществлять обработку персональных данных, ранее направленного оператором в соответствии со статьей 22 настоящего Федерального закона; 2) наименование (фамилия, имя, отчество) лица, ответственного за организацию обработки персональных данных, номера контактных телефонов, почтовые адреса и адреса электронной почты; 3) правовое основание и цель трансграничной передачи персональных данных и дальнейшей обработки переданных персональных данных; 4) категории и перечень передаваемых персональных данных; 5) категории субъектов персональных данных, персональные данные которых передаются; 6) перечень иностранных государств, на территории которых планируется трансграничная передача персональных данных; 7) дата проведения оператором оценки соблюдения органами власти иностранных государств, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача персональных данных, конфиденциальности персональных данных и обеспечения безопасности персональных данных при их обработке. 5. Оператор до подачи уведомления, предусмотренного частью 3 настоящей статьи, обязан получить от органов власти иностранного государства, иностранных физических лиц, иностранных юридических лиц, которым планируется трансграничная передача персональных данных, следующие сведения: 1) сведения о принимаемых органами власти иностранного государства, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача персональных данных, мерах по защите передаваемых персональных данных и об условиях прекращения их обработки; 2) информация о правовом регулировании в области персональных данных иностранного государства, под юрисдикцией которого находятся органы власти иностранного государства, иностранные физические лица, иностранные юридические лица, которым планируется трансграничная передача персональных данных (в случае, если предполагается осуществление трансграничной передачи персональных данных органам власти иностранного государства, иностранным физическим лицам, иностранным юридическим лицам, находящимся под юрисдикцией иностранного государства, не являющегося стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и не включенного в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных); 3) сведения об органах власти иностранного государства, иностранных физических лицах, иностранных юридических лицах, которым планируется трансграничная передача персональных данных (наименование либо фамилия, имя и отчество, а также номера контактных телефонов, почтовые адреса и адреса электронной почты). 6. В целях оценки достоверности сведений, содержащихся в уведомлении оператора о своем намерении осуществлять трансграничную передачу персональных данных, сведения, предусмотренные пунктами 1 - 3 части 5 настоящей статьи, предоставляются оператором по запросу уполномоченного органа по защите прав субъектов персональных данных в течение десяти рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. 7. Трансграничная передача персональных данных может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства, защиты экономических и финансовых интересов Российской Федерации, обеспечения дипломатическими и международно-правовыми средствами защиты прав, свобод и интересов граждан Российской Федерации, суверенитета, безопасности, территориальной целостности Российской Федерации и других ее интересов на международной арене с даты принятия уполномоченным органом по защите прав субъектов персональных данных решения, предусмотренного частью 12 настоящей статьи. 8. Решение о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан принимается уполномоченным органом по защите прав субъектов персональных данных по результатам рассмотрения уведомления, предусмотренного частью 3 настоящей статьи. 9. Решение, указанное в части 8 настоящей статьи, принимается уполномоченным органом по защите прав субъектов персональных данных в течение десяти рабочих дней с даты поступления уведомления, предусмотренного частью 3 настоящей статьи, в порядке, установленном Правительством Российской Федерации. В случае направления уполномоченным органом по защите прав субъектов персональных данных запроса в соответствии с частью 6 настоящей статьи рассмотрение такого уведомления приостанавливается до даты предоставления оператором запрошенной информации. 10. После направления уведомления, указанного в части 3 настоящей статьи, оператор вправе осуществлять трансграничную передачу персональных данных на территории указанных в таком уведомлении иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных или включенных в предусмотренный частью 2 настоящей статьи перечень, до принятия решения, указанного в части 8 или 12 настоящей статьи. 11. После направления уведомления, предусмотренного частью 3 настоящей статьи, оператор до истечения сроков, указанных в части 9 настоящей статьи, не вправе осуществлять трансграничную передачу персональных данных на территории указанных в уведомлении иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и не включенных в предусмотренный частью 2 настоящей статьи перечень, за исключением случая, если такая трансграничная передача персональных данных необходима для защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц. 12. Решение о запрещении или об ограничении трансграничной передачи персональных данных принимается уполномоченным органом по защите прав субъектов персональных данных в целях: 1) защиты основ конституционного строя Российской Федерации и безопасности государства - по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности; 2) обеспечения обороны страны - по представлению федерального органа исполнительной власти, уполномоченного в области обороны; 3) защиты экономических и финансовых интересов Российской Федерации - по представлению федеральных органов исполнительной власти, уполномоченных Президентом Российской Федерации или Правительством Российской Федерации; 4) обеспечения дипломатическими и международно-правовыми средствами защиты прав, свобод и интересов граждан Российской Федерации, суверенитета, безопасности, территориальной целостности Российской Федерации и других ее интересов на международной арене - по представлению федерального органа исполнительной власти, осуществляющего функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере международных отношений Российской Федерации. 13. Решение, предусмотренное частью 12 настоящей статьи, принимается уполномоченным органом по защите прав субъектов персональных данных в течение пяти рабочих дней с даты поступления соответствующего представления. Порядок принятия такого решения и порядок информирования операторов о принятом решении устанавливаются Правительством Российской Федерации. 14. В случае принятия уполномоченным органом по защите прав субъектов персональных данных решения, предусмотренного частью 8 или 12 настоящей статьи, оператор обязан обеспечить уничтожение органом власти иностранного государства, иностранным физическим лицом, иностранным юридическим лицом ранее переданных им персональных данных. 15. Правительство Российской Федерации определяет случаи, при которых требования частей 3 - 6, 8 - 11 настоящей статьи не применяются к операторам, осуществляющим трансграничную передачу персональных данных в целях выполнения возложенных международным договором Российской Федерации, законодательством Российской Федерации на государственные органы, муниципальные органы функций, полномочий и обязанностей. | * Норма вступает в силу с 2023.03.01 (операторы, которые осуществляли трансграничную передачу ПД до дня вступления в силу изменений в 152-ФЗ и продолжают осуществлять такую передачу после дня вступления в силу изменений в 152-ФЗ, обязаны не позднее 01.03.2023 направить в Роскомнадзор уведомление об осуществлении трансграничной передачи ПД). * В отношении трансграничной передачи ПД вводится новый уведомительный режим ее осуществления: передача ПД в «адекватные» страны может осуществляться до начала и во время рассмотрения Роскомнадзором уведомления, а в «неадекватные» страны передача ПД не должна осуществляться до начала и во время рассмотрения Роскомнадзором уведомления. Таким образом, существующая в действующей редакции ч.4 ст.12 152-ФЗ норма об можно передавать ПД в «неадекватные» страны и без получения письменного согласия субъекта ПД, но при условии отсутствия запрета такой передачи Роскомнадзором. * Сам принцип формирования перечней «адекватных»/«неадекватных» стран, в целом, выглядит совпадающим с действующим подходом. Так, Роскомнадзор достиг соглашения с МИД РФ о добавлении Китая в список стран, обеспечивающих адекватную защиту прав субъектов ПД. * Следует обратить внимание, что уведомление о трансграничной передаче ПД содержит наименование некоторых категорий сведений в единственном числе (цель и правовое основание трансграничной передачи ПД, сведения о получателе ПД). С учетом ранее существующих подходов надзорных органов к буквальному толкованию норм 152-ФЗ, операторы могут столкнуться с необходимостью подачи десятков и сотен уведомлений (например, в случае холдинговых структур). * Уведомление о трансграничной передаче можно подать только после исполнения оператором обязанности по направлению уведомления об обработке ПД согласно ст.22 152-ФЗ. * Оператору-экспортеру ПД будет необходимо вести учет импортеров ПД и их иностранных юрисдикций. Роскомнадзор может запросить у оператора-экспортера как указанные сведения, так и иные предусмотренные ч.5 ст.12 152-ФЗ. * См. ст.16 236-ФЗ от 01.07.2021 «О деятельности иностранных лиц в информационно-телекоммуникационной сети «Интернет» на территории Российской Федерации» * Обязанность экспортеров ПД обеспечить уничтожение органом власти иностранного государства (!), иностранным физическим лицом, иностранным юридическим лицом ранее переданных им ПД в случае принятия Роскомнадзором соответствующего решения выглядит (трудно/не)исполнимой. * Обязанность по уведомлению Роскомнадзора о трансграничной передаче ПД (ч.4 ст.12 152-ФЗ) и о зарубежных получателях ПД (ч.5 ст.12 152-ФЗ) касается исключительно операторов, но не обработчиков. * Оператору прямо не вменена обязанность проводить оценку соблюдения импортером ПД конфиденциальности ПД и обеспечения безопасности ПД при их обработке, а сама оценка прямо не предусматривает анализ вопросов защиты прав и свобод субъектов ПД (вокруг чего выстраивается TIA в ЕЭЗ). Законом прямо не предусмотрена обязательность использования получаемых оператором сведений от импортёра (см. ч.5 ст.12 152-ФЗ) при проведении оценки. * Постановление Правительства РФ от 29.12.2022 № 2526 «Об утверждении перечня случаев, при которых к операторам, осуществляющим трансграничную передачу персональных данных в целях выполнения возложенных международным договором Российской Федерации, законодательством Российской Федерации на государственные органы, муниципальные органы функций, полномочий и обязанностей, не применяются требования частей 3 - 6, 8 - 11 статьи 12 Федерального закона «О персональных данных» * Постановление Правительства РФ от 10.01.2023 № 6 «Об утверждении Правил принятия решения о запрещении или об ограничении трансграничной передачи персональных данных уполномоченным органом по защите прав субъектов персональных данных и информирования операторов о принятом решении» * Постановление Правительства РФ от 16.01.2023 № 24 «Об утверждении Правил принятия решения уполномоченным органом по защите прав субъектов персональных данных о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан» | * Включить в локальные акты оператора положения о порядке: (1) получения и документирования оператором сведений, предусмотренных ч.5 ст.12 152-ФЗ; (2) проведения оператором оценки соблюдения органами власти иностранных государств, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача ПД, конфиденциальности ПД и обеспечения безопасности ПД при их обработке. * Проанализировать и скорректировать (при необходимости) существующую практику трансграничной передачи ПД и получения соответствующего СОПД на предмет её оптимизации После анализа запросить у оставшихся актуальными зарубежных получателей ПД сведения, предусмотренные ч.5 ст.12 152-ФЗ. * Проанализировать и доработать (при необходимости) типовые формы договоров (положения в договоры) об обработке ПД на предмет закрепления механизма уничтожения ПД их зарубежными получателями в случае принятия Роскомнадзором соответствующего решения. Внести соответствующие изменения в уже заключенные договоры. * Ориентироваться на приказ Роскомнадзора от 05.08.2022 №128 «Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных». * Использовать разработанную Роскомнадзором форму уведомления о намерении осуществлять трансграничную передачу ПД. |
| Ст.14 | ч.3. Сведения, указанные в части 7 настоящей статьи, предоставляются субъекту персональных данных или его представителю оператором в течение десяти рабочих дней с момента обращения либо получения оператором запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Оператор предоставляет сведения, указанные в части 7 настоящей статьи субъекту персональных данных или его представителю в той форме, в которой направлено соответствующее обращение либо запрос, если иное не указано в самом обращении или запросе. | * Норма вступает в силу с 2022.09.01. * Сокращаются (с 30 календарных до 10/15 рабочих дней) сроки исполнения оператором запросов субъектов ПД о получении информации в отношении обработке их ПД. * Введен принцип идентичности формы ответа оператора в отношении формы полученного оператором запроса субъекта. | * Проанализировать и скорректировать (при необходимости) закреплённую в локальных актах существующую практику обработки запросов субъектов ПД о получении информации в отношении обработки их ПД, в т.ч. относительно соответствия новым (сокращенным) срокам реагирования на запросы субъектов ПД. * Проанализировать и доработать (при необходимости) типовые формы договоров (положения в договоры) о поручении обработки ПД на предмет их соответствия новым (сокращенным) срокам реагирования на запросы субъектов ПД. Внести соответствующие изменения в уже заключенные договоры. * Учесть новые требования в документах декларативного/информационного характера (политиках privacy notice и т.п.). |
| ч.7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей: … 91) информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 настоящего Федерального закона; … | |||
| Ст.18 | ч.2. Если в соответствии с федеральным законом предоставление персональных данных и (или) получение оператором согласия на обработку персональных данных является обязательным, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку. | * Норма вступает в силу с 2022.09.01. Закрепление на уровне 152-ФЗ актуальной правоприменительной практики в отношении получения согласий субъектов ПД. | * Проанализировать и скорректировать (при необходимости) существующую практику получения СОПД. |
| ч.3. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию: … 21) перечень персональных данных; … | * Норма вступает в силу с 2022.09.01. | * Проанализировать и скорректировать (при необходимости) закреплённые в локальных актах требования к содержанию типовых документов/коммуникаций, используемых для предоставления субъектам ПД информации в отношении обработки их ПД. | |
| Ст.181 | ч.1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам, в частности, относятся: … 2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на операторов не предусмотренные законодательством Российской Федерации полномочия и обязанности; … 5) оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом; 6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников. | * Норма вступает в силу с 2022.09.01, а п.5 ч.1 ст.181 – с 2023.03.01. * Закрепление на уровне 152-ФЗ актуальной правоприменительной практики в отношении обязательности выполнения операторами всего предусмотренного ч.1 ст.181 152-ФЗ перечня мер. * Принят приказ Роскомнадзора от 27.10.2022 № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных» * Требование о том, что документы и локальные акты оператора не могут содержать положения, ограничивающие права субъектов ПД, а также возлагающие на операторов не предусмотренные законодательством РФ полномочия и обязанности можно толковать таким образом, что ставится под вопрос правомерность применения операторами каких-либо лучших практик или соблюдения корпоративных/отраслевых требований, выходящих за границы норм законодательства. Иначе говоря, операторам законодательно запрещают использовать любые лучшие практики, прямо не предусмотренные 152-ФЗ и другими законами. Например, обязанность оператора осуществлять документированную оценку законного интереса оператора в качестве правового основания для обработки ПД. Это мера как раз помогает защитить права субъектов ПД, но ее нет в 152-ФЗ. | * Проанализировать все применяемые оператором политики и процедуры в отношении обработки и защиты ПД на предмет возможности их обоснования соответствующими положениями законодательства РФ. Если в том или ином случае такой возможности не выявлено, то будет необходимо принять (риск-ориентированное) решение о возможности в отношении дальнейшей судьбы таких политик/процедур. |
| ч.2. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего оператору сайта в сети Интернет, с использованием которых осуществляется сбор персональных данных. | * Норма вступает в силу с 2022.09.01. * Политика оператора в отношении обработки ПД (размещение ссылки на нее) должна быть доступна на тех страницах Интернет-сайтов, которые используются для сбора ПД. А как насчет мобильных приложений? | * Проверить наличие текста/ссылки на политику оператора в отношении обработки ПД на страницах/разделах Интернет-ресурсов (сайтов и моб. приложений), используемых для сбора ПД. * В некоторых случаях, политика в отношении обработки ПД может быть дополнена «политикой онлайн-конфиденциальности», описывающей практики и подходы оператора в отношении сбора и дальнейшей обработки ПД на конкретном Интернет-ресурсе. |
|
| Ст.19 | ч.12. Оператор обязан в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных. | * Норма вступает в силу с 2022.09.01. * Термин «компьютерный инцидент» закреплен только в ст.2 187-ФЗ «О КИИ», а в 152-ФЗ, ПП-1119 и П-21 ФСТЭК он отсутствует. * Данная норма не может быть применима к операторам, которые не используют средства автоматизации (не только ИСПД, но и автоматизированные рабочие места) при обработке ПД. * В отличие от ст.21 152-ФЗ, оператор обязан предоставлять информацию о компьютерных инцидентах, повлекших исключительно неправомерную передачу ПД, а случайная передача ПД находится вне регулирования ст.19 152-ФЗ. * Принят приказ ФСБ России от 13.02.2023 № 77 «Об утверждении порядка взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных» (см. ч.12 ст.19 152-ФЗ). * Предусмотрена совместная разработка ФСБ и Роскомнадзором порядка передачи информации о компьютерных инцидентах из ФСБ в Роскомнадзор (см. ч.ч.13,14 ст.19 152-ФЗ). | * Разработать локальную процедуру взаимодействия с ГосСОПКА после утверждения ФСБ соответствующего правового акта. |
| ч.13. Указанная в части 12 настоящей статьи информация (за исключением информации, составляющей государственную тайну) передается федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, в уполномоченный орган по защите прав субъектов персональных данных. | |||
| ч.14. Порядок передачи информации в соответствии с частью 13 настоящей статьи устанавливается совместно федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и уполномоченным органом по защите прав субъектов персональных данных. | |||
| Ст.20 | ч.1. Оператор обязан сообщить в порядке, предусмотренном статьей 14 настоящего Федерального закона, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. | * Норма вступает в силу с 2022.09.01. * Существенно (с 30 календарных до 10/15 рабочих дней) сокращаются сроки исполнения оператором запросов надзорных органов и субъектов ПД по вопросам, связанным получением информации об обработке ПД. | * Проанализировать и скорректировать (при необходимости) закреплённую в локальных актах существующую практику обработки запросов надзорных органов и субъектов ПД, в т.ч. относительно соответствия новым (сокращенным) срокам реагирования на запросы. * Проанализировать и доработать (при необходимости) типовые формы договоров (положения в договоры) об обработке ПД на предмет их соответствия новым (сокращенным) срокам реагирования на запросы надзорных органов и субъектов ПД. Внести соответствующие изменения в уже заключенные договоры. * Учесть новые требования в документах декларативного/информационного характера (политиках privacy notice и т.п.). |
| ч.2. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 настоящего Федерального закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий десяти рабочих дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. | |||
| ч.4. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение десяти рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. | |||
| Ст.21 | ч.З1. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных: 1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом; 2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии). | * Норма вступает в силу с 2022.09.01. * Обязанность операторов извещать субъектов ПД об инцидентах не предусмотрена. * Принят приказ Роскомнадзора от 14.11.2022 №187 «Об утверждении Порядка и условий взаимодействия Роскомнадзора с операторами в рамках ведения реестра учета инцидентов с ПД» * Норма касается только тех инцидентов, в которых установлены (оператором или иным лицом?): (1) факт неправомерной или случайной передачи ПД; (2) нарушение прав субъектов ПД; (3) причинно-следственная связь между ними. * Период уведомления об инциденте начинает отсчитываться с момента выявления инцидента (факта или подозрения о нём) оператором, Роскомнадзором или иным заинтересованным лицом, но сама обязанность уведомления об инциденте вменена только оператору. В то же время, Роскомнадзор и иные заинтересованные лица не обязаны информировать оператора о выявлении ими инцидента. | * Разработать локальную процедуру выявления, установления, нейтрализации и уведомления в отношении инцидентов неправомерного раскрытия ПД. Особый фокус следует уделить выявлению/мониторингу инцидентов в СМИ, интернет-ресурсах и иных открытых источниках. Также можно организовать программу по «охоте» за такого рода сведениями с привлечением всех заинтересованных лиц («Data Breach Bounty»). * Проанализировать и доработать (при необходимости) типовые формы договоров (положения в договоры) об обработке ПД на предмет их соответствия новым требованиям в отношении инцидентов неправомерного раскрытия ПД. Внести соответствующие изменения в уже заключенные договоры. * Использовать разработанную Роскомнадзором форму уведомления о факте неправомерной или случайной передачи ПД, повлекшей нарушение прав субъектов ПД. |
| ч.51. В случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных оператор обязан в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 настоящего Федерального закона. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. | * Норма вступает в силу с 2022.09.01. * Предполагается, что требование субъекта ПД прекратить обработку его данных, основанную на ранее полученном СОПД, оператор может интерпретировать как волеизъявление субъекта на отзыв СОПД. При этом на прекращение обработки ПД в случае отзыва СОПД оператору дается 30 календарных дней. * Возможно, наличие несогласованности первого и последнего предложений рассматриваемой нормы, т.к. в первом предложении говорится о требовании субъекта ПД к оператору, а во втором – о продлении некоего срока предоставления запрашиваемой информации (?). | * Разработать локальную процедуру обработки запросов субъектов ПД на прекращение обработки их данных. * Проанализировать и доработать (при необходимости) типовые формы СОПД и договоров (положения в договоры) об обработке ПД на предмет возможности обеспечить реализацию права субъектов ПД на прекращение обработки их данных. Внести соответствующие изменения в уже заключенные договоры. * Учесть новые требования в документах декларативного/информационного характера (политиках privacy notice и т.п.). |
|
| ч.6. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в частях 3 - 51 настоящей статьи, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами. | * Норма вступает в силу с 2022.09.01. | * Рекомендации отсутствуют. | |
| ч.7. Подтверждение уничтожения персональных данных в случаях, предусмотренных настоящей статьей, осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных. | * Норма вступает в силу с 2022.09.01. * Принят приказ Роскомнадзора от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных» | * Проанализировать и скорректировать (при необходимости) закреплённую в локальных актах процедуру уничтожения ПД, включая подтверждение данного факта. | |
| Ст.22 | ч.2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных: пункты 1-6 признать утратившими силу; 7) включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка; 8) в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации; 9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства. | * Норма вступает в силу с 2022.09.01. * Существенно уменьшение количества случаев, освобождающих операторов от необходимости уведомлять Роскомнадзор об обработке ПД. Стоит отметить, что большинство исключений, итак, фактически не работают. | * Рекомендации отсутствуют. |
| ч.3. Уведомление, предусмотренное частью 1 настоящей статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление должно содержать следующие сведения: 1) наименование (фамилия, имя, отчество), адрес оператора; 2) цель обработки персональных данных; пункты 3-6 признать утратившими силу; 7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств; 7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты; 8) дата начала обработки персональных данных; 9) срок или условие прекращения обработки персональных данных; 10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки; 10.1) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации; 102) фамилия, имя, отчество физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах; 11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации. | * Норма вступает в силу с 2022.09.01. * Уведомления, направляемые в Роскомнадзор, сильно увеличатся в размерах, а инспекторы получат возможность еще более тщательно проверять соответствие сведений об обработке ПД из уведомления и получаемых от оператора в ходе контрольно-надзорных мероприятий. | * Проанализировать и скорректировать (при необходимости) закреплённый в локальных актах порядок взаимодействия с Роскомнадзором в отношении Реестра операторов. | |
| ч.31. При предоставлении сведений, предусмотренных частью 3 настоящей статьи, оператор для каждой цели обработки персональных данных указывает категории персональных данных, категории субъектов, персональные данные которых обрабатываются, правовое основание обработки персональных данных, перечень действий с персональными данными, способы обработки персональных данных. | |||
| ч.41. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления информации исключает сведения, указанные в части 3 настоящей статьи, из реестра операторов при наличии информации о прекращении оператором деятельности по обработке персональных данных. | * Норма вступает в силу с 2022.09.01. | * Рекомендации отсутствуют. | |
| ч.7. В случае изменения сведений, указанных в части 3 настоящей статьи, оператор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения, обязан уведомить уполномоченный орган по защите прав субъектов персональных данных обо всех произошедших за указанный период изменениях. В случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты прекращения обработки персональных данных. | * Норма вступает в силу с 2023.03.01. | * Рекомендации отсутствуют. | |
| ч.8. Формы уведомлений, предусмотренных частями 1, 41 и 7 настоящей статьи, устанавливаются уполномоченным органом по защите прав субъектов персональных данных. | * Норма вступает в силу с 2022.09.01. * Предусмотрена разработка Роскомнадзором новых форм уведомлений в отношении Реестра операторов. | * Отслеживать процесс применения приказа Роскомнадзора «Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, о внесении изменений в ранее представленные сведения, о прекращении обработки персональных данных». | |
| Ст.23 | ч.1. Уполномоченным органом по защите прав субъектов персональных данных является федеральный орган исполнительной власти, осуществляющий самостоятельно функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных. | * Норма вступает в силу с 2022.09.01. * Попытка подчеркнуть формально-независимый и возросший статус Роскомнадзора как уполномоченного органа по защите прав субъектов персональных данных в русле соответствующих положений ст.15 Конвенции СЕ 108+. | * Рекомендации отсутствуют. |
| ч.3. Уполномоченный орган по защите прав субъектов персональных данных имеет право: … 8) вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных и деятельности по обработке персональных данных; … | * Норма вступает в силу с 2022.09.01. * Расширение права законодательной инициативы Роскомнадзора с точки зрения её области. | ||
| ч.52. Права и обязанности уполномоченного органа по защите прав субъектов персональных данных, установленные в частях 3 и 4 настоящей статьи, осуществляются им непосредственно и не могут быть переданы иным органам государственной власти. | * Норма вступает в силу с 2022.09.01. * Попытка подчеркнуть формально-независимый и возросший статус Роскомнадзора как уполномоченного органа по защите прав субъектов персональных данных в русле соответствующих положений ст.15 Конвенции СЕ 108+. | ||
| ч.10. Для учета информации об инцидентах, предусмотренных частью 31 статьи 21 настоящего Федерального закона, уполномоченный орган по защите прав субъектов персональных данных ведет реестр учета инцидентов в области персональных данных, определяет порядок и условия взаимодействия с операторами в рамках ведения настоящего реестра. | * Норма вступает в силу с 2023.03.01. * Из текста непонятно, будет ли информация из указанного реестра хотя бы частично доступна общественности. * Предусмотрена разработка Роскомнадзором требований в отношении порядка и условий взаимодействия с операторами в рамках ведения реестра учета инцидентов. | ||
| ч.11. Информация, содержащаяся в указанном реестре, о компьютерных инцидентах, повлекших неправомерные доступ, представление, распространение, передачу персональных данных, в порядке, установленном совместно федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности и федеральным органом исполнительной власти, осуществляющим функции по контролю (надзору) за соответствием обработки персональных данных, передается в федеральный орган исполнительной власти, уполномоченным в области обеспечения безопасности. | * Норма вступает в силу с 2023.03.01. * Предусмотрена совместная разработка ФСБ и Роскомнадзором порядка передачи сведений о компьютерных инцидентах в отношении ПД из Реестра в ФСБ. |