Legal Alert: Обзор новых требований к обработке персональных данных

24 мая 2022 года проект федерального закона №101234-8 был принят Госдумой в первом чтении. Согласно пояснительной записке к законопроекту, более 2,5 тыс. операторов персональных данных (операторы) осуществляют трансграничную передачу персональных данных российских граждан (персданные) в недружественные страны, где не обеспечивается их должная защита. Это побудило законодателя придать нормам российского закона (152-ФЗ) экстерриториальный характер и наложить на операторов ряд дополнительных ограничений, в частности связанных с трансграничной передачей данных.

Рассмотрим основные поправки, которые уже совсем скоро могут быть приняты:


1.              Обязанность уведомлять Роскомнадзор
1.1. Уведомлять Роскомнадзор о начале обработки персданных придется и в случаях, когда эти сведения:
- обрабатываются в связи с трудовым законодательством;
- принадлежат контрагентам оператора, и он использует персданные, чтобы исполнять и заключать соглашения; 
- нужны для однократного пропуска гражданин на территорию оператора или для аналогичных целей. 
Сейчас в этих и некоторых других случаях извещать ведомство не нужно. 

1.2. Уведомлять Роскомнадзор также придется о своем намерении осуществлять трансграничную передачу персданных. При этом трансграничная передача может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства. Срок рассмотрения уведомления 30 дней. 


2.              Госсистема обнаружения, предупреждения и ликвидации последствий кибератак
Операторам предстоит научится работать с системой обнаружения, предупреждения и ликвидации последствий кибератак. В частности, через эту систему придется сообщать об инцидентах, из-за которых произошла утечка персданных, если оператор выявит, например, случайную передачу такой информации. Уведомить Роскомнадзор потребуется не позднее 24 часов с момента наступления инцидента. В своем сообщении оператор среди прочего должен будет указать, причины утечки и какой вред гражданам она нанесла. 
Предполагается, что Роскомнадзор будет вести реестр учета инцидентов с неправомерной обработкой персданных.
  
3.              Биометрические данные 
3.1.  Оператору запретят отказывать гражданам в оказании услуг, при их отказе предоставить биометрические данные и (или) дать согласие на обработку персданных, в случаях, когда такое согласие не является обязательным. 
3.2.  Вводится общее правило о запрете обработки биометрических данных несовершеннолетних. Обрабатывать биометрические данные детей до 18 лет можно будет только тогда, когда такая обработка прямо предусмотрена законодательством.


4. Cокращение сроков ответа на запросы
С 30 суток до 10 рабочих дней сократят время на то, чтобы оператор: 
- проинформировал субъекта персданных (его представителя) о наличии его персданных и дал возможность ознакомиться с ними; 
- направил письменный мотивированный отказ предоставить информацию; 
- сообщил в Роскомнадзор запрошенные им данные. 


5. Уточнение требований к согласию на обработку персональных данных 

В настоящее время согласие субъекта на обработку персональных данных должно быть конкретным, информированным и сознательным. Законопроект вводит два новых требования: предметности и однозначности. 
За этим, на первый взгляд крайне размытым теоретизированным требованием, стоит общая тенденция законодателя переломить сложившуюся консервативную практику, когда операторы перестраховываются и собирают согласия «на всякий случай», не анализируя применимость иных оснований (условий) для обработки пересданных. В совокупности с изменениями, описанными в пункте 3, новые требования должны подтолкнуть операторов к более осознанному выбору оснований для обработки данных. 

Мы будем рады помочь вам в выборе корректного основания для обработки персональных данных, при необходимости, помочь подготовить заявления в Роскомнадзор о начале обработки персданных, а также о желании осуществлять транcграничную передачу персданных. Разработать и (или) привести в соответствие с новыми требованиями ваши локальные нормативные акты, регламентирующие обработку персданных. 

Наши юристы внимательно следят за изменениями действующего законодательства и уведомят вас как только вышеуказанный законопроект будет принят.